JP6889673B2 - Security Countermeasure Planning Equipment and Methods - Google Patents
Security Countermeasure Planning Equipment and Methods Download PDFInfo
- Publication number
- JP6889673B2 JP6889673B2 JP2018027979A JP2018027979A JP6889673B2 JP 6889673 B2 JP6889673 B2 JP 6889673B2 JP 2018027979 A JP2018027979 A JP 2018027979A JP 2018027979 A JP2018027979 A JP 2018027979A JP 6889673 B2 JP6889673 B2 JP 6889673B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- countermeasure
- security
- activity
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、セキュリティ対処策立案装置および方法に関する。例えば、ネットワークに接続された端末にて、ユーザが何等かの業務を作業している途中、外部よりサイバー攻撃が発生した旨のアラームを検知した場合であっても、端末によるユーザの業務を一義的に停止することなく、業務を継続しながらサイバー攻撃に対処することが可能なセキュリティ対処策を立案するセキュリティ対処策立案装置および方法に関する。 The present invention relates to a security countermeasure planning device and a method. For example, even if an alarm indicating that a cyber attack has occurred from the outside is detected while the user is working on some business on a terminal connected to the network, the user's business by the terminal is unique. It relates to a security countermeasure planning device and a method for formulating a security countermeasure that can deal with a cyber attack while continuing business without stopping.
近年、民間企業や、防衛関連企業、公的機関を狙ったサイバー攻撃が顕在化しており、個人、企業、国家の利益や安全性を損なうリスクが高まっている。また、攻撃手法も益々巧妙化しており、高度なマルウェアを巧みに活用して特定の官庁や企業、組織のネットワークに侵入し、機密情報の窃取やシステム破壊を行う標的型攻撃が、セキュリティ上の大きな脅威となっている。これらの脅威による被害を最小化するには、迅速な対処策の適用が必要となる。 In recent years, cyber attacks targeting private companies, defense-related companies, and public institutions have become apparent, increasing the risk of damaging the interests and security of individuals, companies, and the nation. In addition, attack methods are becoming more sophisticated, and targeted attacks that use advanced malware to infiltrate the networks of specific government offices, companies, and organizations to steal confidential information or destroy systems are security measures. It is a big threat. Immediate action needs to be applied to minimize the damage caused by these threats.
係る対処策の一つとして、例えば、特開2005−70218号公報(特許文献1)に記載された技術がある。この文献1には、「ネットワーク型侵入検知システムの不正アクセス検出機能を利用して自動的にファイアウォールのポリシを更新するポリシ管理装置を設け、不正アクセスの防御を自動的に実行して管理者の負荷を軽減し、さらに市販製品を利用して実現可能とする」という記載がある。つまり、ネットワーク型侵入検知システムの不正アクセス検出機能を利用して自動的にファイアウォールのポリシを更新し、不正アクセスの防御を自動的に実行する不正アクセス防御システムが開示されている。
As one of such countermeasures, for example, there is a technique described in Japanese Patent Application Laid-Open No. 2005-70218 (Patent Document 1). In this
特許文献1の技術によれば、サイバー攻撃の検知から、その対処策の実施までを迅速に行うことができる。しかし、特許文献1では、ユーザの業務について何ら考慮されていないため、例えば、マルウェアの通信先を遮断するなどのセキュリティ対処を実行することによって、生成されたポリシにユーザの業務に関連する通信が含まれている場合、当該通信までが遮断されてしまい、ユーザの業務に悪影響を与えてしまう可能性がある。
本発明は、上記事情に鑑みてなされたものであり、ユーザの業務に悪影響を与えないセキュリティ対処策を立案する技術を提供することを目的とする。
According to the technique of
The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a technique for devising a security countermeasure that does not adversely affect a user's business.
上記課題を解決するために、代表的な本発明のセキュリティ対処策立案装置および方法の一つは、端末ごとに、ユーザが業務で利用する通信をホワイトリストとして保持し、サイバー攻撃を検知した際に、端末ごとに対処策を立案し、立案した対処策が端末のホワイトリストに存在する場合には、より対処範囲を限定した新たな対処策を立案するものである。 In order to solve the above problem, one of the typical security countermeasure planning devices and methods of the present invention is to keep the communication used by the user in business as a white list for each terminal and detect a cyber attack. In addition, a countermeasure is devised for each terminal, and if the devised countermeasure exists in the white list of the terminal, a new countermeasure with a more limited scope of countermeasure is formulated.
本発明によれば、端末によるユーザの業務に悪影響を与えないセキュリティ対処策を立案することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
According to the present invention, it is possible to devise a security countermeasure that does not adversely affect the user's business by the terminal.
Issues, configurations and effects other than those described above will be clarified by the description of the following embodiments.
マルウェアの脅威に対応するためには、上述したようにマルウェアの通信先を遮断するといったセキュリティ対処策が有効である。しかし、マルウェアの通信先を遮断するという安易なセキュリティ対処策の適用は、ユーザの業務へ悪影響を与える可能性がある。このため、セキュリティ対処策の立案は慎重に吟味する必要があり、時間を要してしまうという課題があった。
そこで、本実施形態では、上記課題を是正するために、ユーザが業務で利用する通信に関する情報を端末ごとに予めホワイトリストとして保持しておき、サイバー攻撃検知時に、立案した対処策(通信方向の「Out」、「In」)がホワイトリストに含まれている場合には、対処範囲を限定した新たな対処策を立案するものである。
例えば、ホワイトリストに端末の通信に関するIPアドレス、通信方法、ポート、プロトコル、サイズ、を含む情報であって、対処端末の、例えば、『IPアドレス「10.0.0.1」の通信方向「Out」でポート「TCP/445」宛てへの通信を遮断する』というレベル「1」の第1対処策が、ホワイトリストに存在する場合、当該レベル「1」の第1対処策より、通信範囲(対処範囲)を限定した『IPアドレス「10.0.0.1」が通信方向「Out」でポート「TCP/445」宛てへのプロトコル「SMBv2」を遮断する』というレベル「2」の対処案を立案する。
これにより、ユーザの業務に影響を与えないセキュリティ対処策を立案することが可能となる。
実施例では、セキュリティ対処策立案装置にホワイトリスト生成処理機能、端末活動取得処理機能、拡散活動判定処理機能、対処端末判定処理機能、及び、対処策立案処理機能、を実現する各プログラムを持たせたものである。以下、その実施例について図面を参照して説明する。
なお、以下の実施例では、各情報を記憶する手段として、テーブルを前提として説明するが、各情報は、テーブル以外のデータ構造で表現されていてもよい。また、各プログラムは、プロセッサ、例えば、MP(マイクロプロセッサ)やCPU、マイクロコントローラなどによって実行されるもので、定められた処理をするものである。
In order to respond to malware threats, security measures such as blocking malware communication destinations are effective as described above. However, the application of easy security measures such as blocking the communication destination of malware may adversely affect the user's business. For this reason, it is necessary to carefully examine the planning of security countermeasures, and there is a problem that it takes time.
Therefore, in the present embodiment, in order to correct the above problem, information on communication used by the user in business is stored in advance as a white list for each terminal, and a countermeasure (communication direction) devised at the time of cyber attack detection is performed. When "Out" and "In") are included in the white list, a new countermeasure that limits the scope of countermeasures is devised.
For example, the information including the IP address, communication method, port, protocol, and size related to the communication of the terminal in the white list, and the communication direction of the coping terminal, for example, "IP address" 10.0.0.1 "" If the first countermeasure of level "1" that "blocks communication to the port" TCP / 445 "with Out" exists in the white list, the communication range is better than the first countermeasure of the level "1". Countermeasures for level "2" that "IP address" 10.0.0.1 "blocks protocol" SMVv2 "to port" TCP / 445 "in communication direction" Out "" with limited (range of action) Make a plan.
This makes it possible to formulate security measures that do not affect the user's business.
In the embodiment, the security countermeasure planning device is provided with each program that realizes the white list generation processing function, the terminal activity acquisition processing function, the diffusion activity judgment processing function, the countermeasure terminal judgment processing function, and the countermeasure planning processing function. It is a thing. Hereinafter, the embodiment will be described with reference to the drawings.
In the following examples, a table will be described as a means for storing each information, but each information may be represented by a data structure other than the table. Further, each program is executed by a processor, for example, an MP (microprocessor), a CPU, a microcontroller, or the like, and performs a predetermined process.
図1は、本発明の実施例に係るセキュリティ対処策立案装置の構成例を示す図である。
セキュリティ対処策立案装置101は、ネットワーク116を介して端末117と、セキュリティアプライアンス118と、接続される。
FIG. 1 is a diagram showing a configuration example of a security countermeasure planning device according to an embodiment of the present invention.
The security
端末117は、ユーザが業務で利用する端末であって、複数の端末、例えば、端末A117a、端末B117b、端末C117c、を含み、これらは、情報処理や通信処理機能を有する情報処理装置や、業務サーバなどから構成される。
端末117には、図示していないが、既存のウイルス対策ソフトや、HIDS(Host−based IDS)等のセキュリティ対策機能が存在している。
The
Although not shown, the
セキュリティアプライアンス118は、インターネット119と接続され、ネットワーク上でセキュリティ対策を行うサービスや、ハードウェア、ソフトウェア等から構成される。
セキュリティアプライアンス118としては、例えば、FW(FireWall)やIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)、UTM(Unified Threat Management)等が存在する。
The
Examples of the
セキュリティ対処策立案装置101は、例えば、CPU(Central Processing Unit)103と、CPU103が処理を実行するために必要な各プログラムを格納するためのメインメモリ104と、大量のデータや情報を記憶する容量を持つハードディスクやフラッシュメモリなどの記憶装置105と、他装置(端末117、セキュリティアプライアンス118)と通信を行なうためのIF(インタフェース)102と、キーボード、ディスプレイなどの入出力を行うための入出力装置106と、これらの各装置を接続する通信路107と、を備えたコンピュータから構成される。
なお、通信路107は、例えば、バスやケーブルなどの情報伝達媒体である。
The security
The
CPU103は、メインメモリ104に格納されたホワイトリスト生成プログラム108を実行することにより、端末117ごとのホワイトリスト113の生成を行い、端末活動取得プログラム109を実行することにより、端末117ごとの端末活動ログ114の生成を行い、拡散活動判定プログラム110を実行することにより、端末117ごとのサーバ攻撃、例えば、マルウェアの拡散に利用された拡散活動の判定を行い、対処端末判定プログラム111を実行することにより、セキュリティ対処策を適用する端末117の判定を行い、対処策立案プログラム112を実行することにより、ユーザの業務に悪影響を与えない端末117ごとの対処策の立案を行う、各機能を有する。
The
ホワイトリスト生成プログラム108は、ホワイトリストを生成するホワイトリスト生成部を構成し、端末活動取得プログラム109は、端末117の活動状態を示す端末活動ログ114を取得する端末活動取得部を構成し、拡散活動判定プログラム110は、マルウェアの拡散活動を判定する拡散活動判定部を構成し、対処端末判定プログラム111は、拡散活動によってマルウェアに感染している、或いは、感染している可能性がある端末117を対処端末(防止対策端末/予防対策端末)として判定する対処端末判定部を構成し、対処策立案プログラム112は、対処端末に対して、マルウェアに対する対処策を立案する対処策立案部を構成する。
The white
ホワイトリスト113は、端末117ごとに、例えば、各端末の端末活動ログ114から生成する。
端末活動ログ114は、端末117が行う通信のパケットを取得し、当該パケットから通信情報を構築して生成する。
対処策は、例えば、予め用意した対処策テンプレート115を用いて立案する。
なお、拡散活動とは、マルウェアが他の端末に感染を拡大するために行った通信の集合を表す。
The
The
The countermeasure is planned using, for example, the
The spreading activity represents a set of communications performed by malware to spread the infection to other terminals.
記憶装置105は、端末117のユーザが業務で利用する通信を定義したホワイトリスト113、端末117の通信を記録した端末活動ログ114、対処策を立案するルールを示す対処策テンプレート115、の各情報(データ)を格納する各記憶部を有する。
上記の各プログラムや情報(データ)は、あらかじめメインメモリ104または記憶装置105に格納されていてもよいし、必要な時に、入出力装置106から、インストール(ロード)してもよい。または、IF102を介して他の装置から、インストール(ロード)してもよい。
The
Each of the above programs and information (data) may be stored in the
図2は、ホワイトリスト113の一例を示す図である。
ホワイトリスト113は、図示するように、ID201、IPアドレス202、通信方向203、ポート204、プロトコル205、サイズ206、の各情報を格納するエリアを含んで構成される。通信方向203における「Out」、「In」は対処策の一つを表している。
FIG. 2 is a diagram showing an example of the
As shown in the figure, the
ID201は、ホワイトリスト113を一意に識別する情報(1、2など)を表し、IPアドレス202は、ホワイトリスト113の対象となる端末(対処端末)117のIP(Internet Protocol)アドレス(10.0.0.1など)を表し、通信方向203は、対処策立案プログラム112にて立案されたホワイトリスト113の対象となる通信の方向を表し、ポート204は、ホワイトリスト113の対象となるポート(UDP/53、TCP/80など)を表し、プロトコル205は、ホワイトリスト113の対象となるプロトコル(DNS、HTTP1.1など)を表し、サイズ206は、ホワイトリスト113の対象となる通信のパケットサイズ(82−88、54−822など)を表す。
なお、通信方向203には、「Out」または「In」が格納される。「Out」は、ホワイトリスト113において、IPアドレス202(10.0.0.1、10.0.0.2)を持つ端末117(送信元)が送信する通信を対象としていることを表し、「In」は、ホワイトリスト113において、IPアドレス202(10.0.0.3、10.0.0.254、10.0.0.100、10.0.0.101)を持つ端末117(送信先)が受信する通信を対象としていることを表す。
ホワイトリスト113の対象となるプロトコルが不明の場合には、プロトコル205に「−」を格納する。
In addition, "Out" or "In" is stored in the
When the target protocol of the
サイズ206は、例えば、ホワイトリスト113の対象となる通信の最小パケットサイズと最大パケットサイズを格納しておく。
なお、ホワイトリスト113の対象となる通信のパケットサイズが不明の場合には、サイズ206に「−」を格納する。
The
If the packet size of the communication targeted by the
図2において、例えば、ID201が「1」、IPアドレス202が「10.0.0.1」、通信方向203が「Out」、ポート204が「UDP/53」、プロトコル205が「DNS」、サイズ206が「82−88」のホワイトリスト113である場合は、IPアドレスが「10.0.0.1」の端末が「UDP(User Datagram Protocol)の53番ポート」を用いて「DNS(Domain Name System)クエリ」を送信し、その通信に含まれるパケットは「82バイト〜88バイト」であることを表す。
In FIG. 2, for example, the
また、ID201が「5」、IPアドレス202が「10.0.0.3」、通信方向203が「In」、ポート204が「TCP/445」、プロトコル205が「SMBv2」、サイズ206が「54−200」のホワイトリスト113である場合は、IPアドレスが「10.0.0.3」の端末が「TCP(Transmission Control Protocol)の445番ポート」を用いて「SMB(Server Message Block)v2(version2)」の通信を受信し、その通信に含まれるパケットは「54〜200バイト」であることを表す。
The
ホワイトリスト113は、上述したように端末117のユーザが業務に利用される通信を定義したものであり、セキュリティ対処策立案装置101にて、端末117ごとの通信に関する情報をもとに端末117ごとのホワイトリストを生成する。
なお、ホワイトリスト113の各情報は、セキュリティ対処策立案装置101の管理者が必要に応じて、入力または更新してもよいし、CPU103により実行されるホワイトリスト生成プログラム108が端末活動ログ114に格納された端末活動を用いて生成してもよい。
ホワイトリスト生成プログラム108の具体的な処理については、後述する。
また、ホワイトリスト113は、CPU103により実行される対処策立案プログラム112が、対処策を立案する際に利用される。
対処策立案プログラム112の具体的な処理については、図9を用いて後述する。
As described above, the
The information in the
The specific processing of the white
Further, the
The specific processing of the
図3は、端末活動ログ114の一例を示す図である。
端末活動ログ114は、端末117の端末活動を示すものであり、図示するように、ID301、日時302、送信元303、送信先304、ポート305、プロトコル306、サイズ307、の各情報を格納するエリアを含んで構成される。
FIG. 3 is a diagram showing an example of the
The terminal activity log 114 shows the terminal activity of the terminal 117, and stores
ID301は、端末活動ログ114を一意に識別する情報(1、2など)を表し、日時302は、端末通信(端末活動)が発生した日時(2017/1/1 00:00:00、2017/1/1 00:00:03など)を表し、送信元303は、通信の送信元(10.0.0.1、10.0.0.2など)の端末を表し、送信先304は、通信の送信先(10.0.0.254、10.0.0.100など)の端末を表し、ポート305は、通信の送信先ポート(UDP/53、TCP/80など)を表し、プロトコル306は、通信のプロトコル(DNS、HTTP1.1など)を表し、サイズ307は、通信に含まれるパケットのサイズ(82−88、54−822など)を表す。
なお、通信のプロトコルが不明の場合には、プロトコル306に「−」が格納される。また、サイズ307には、例えば、通信に含まれる情報(パケット)の最小サイズと最大サイズが格納される。
ID301 represents information (1, 2, etc.) that uniquely identifies the
If the communication protocol is unknown, "-" is stored in the
図3において、例えば、ID301が「1」、日時302が「2017/1/1 00:00:00」、送信元303が「10.0.0.1」、送信先304が「10.0.0.254」、ポート305が「UDP/53」、プロトコル306が「DNS」、サイズ307が「82−88」の端末活動ログ114の場合は、日時「2017/1/1 00:00:00」に、IPアドレスが「10.0.0.1」の端末117(送信元)から、IPアドレスが「10.0.0.254」の端末117(送信先)の「UDP/53番ポート」へ、「DNS」通信が発生し、「DNS」通信には「82バイトから88バイト」の通信が利用されたことを表す。
なお、端末活動ログ114の各情報は、CPU103により実行される端末活動取得プログラム109が生成する。
端末活動取得プログラム109の具体的な処理については、後述する。
In FIG. 3, for example, the
Each piece of information in the
The specific processing of the terminal
端末活動ログ114は、CPU103により実行される拡散活動判定プログラム110が、マルウェアの拡散活動を判定する際と、CPU103により実行される対処端末判定プログラム111が対処端末を判定する際と、に利用される。
拡散活動判定プログラム110の具体的な処理については図6を用いて、対処端末判定プログラム111の具体的な処理については図8を用いて、後述する。
The
The specific processing of the diffusion
図4は、対処策テンプレート115の一例を示す図である。
対処策テンプレート115は、図示するように、ID401、通信方向402、レベル403、立案テンプレート404、の各情報を格納するエリアを含んで構成される。
FIG. 4 is a diagram showing an example of the
As shown in the figure, the
ID401は、対処策テンプレート115を一意に識別する情報を表し、通信方向402は、対処策を適用する方向を表し、レベル403は、対処策のレベルを表し、立案テンプレート404は、対処策を立案する際に用いるテンプレートを表す。
なお、通信方向402が「Out」の場合は、端末117が送信する通信を遮断することを表し、通信方向402が「In」の場合は、端末117が受信する通信を遮断することを表す。
例えば、端末117の何れか1つが既にマルウェアに感染している場合には、他の端末に感染し、感染端末が増えないようにするため、通信方向「Out」の対処策を立案する。
また、端末117がまだマルウェアに感染していない場合には、当該端末がマルウェアに感染することを予防するため、通信方向「In」の対処策を立案する。
また、レベル403は、対処策により影響を受ける通信の範囲(対処範囲)の大きさによって定義される値である。レベルの値が小さいほど対処範囲は広くなり、レベルの値が大きくなるに従い、対処範囲は狭くなることを表す。
When the
For example, when any one of the
In addition, when the terminal 117 is not yet infected with malware, a countermeasure for the communication direction "In" is devised in order to prevent the terminal from being infected with malware.
Further, the
立案テンプレート404は、拡散活動に含まれるどの属性(例えば、図3における送信元、送信先、ポート、プロトコル、サイズ、)で対処策を立案するかを表す。
例えば、立案テンプレート404の対処策が「ポートを遮断」であれば、拡散活動に含まれるポートを利用した通信を遮断することを表し、立案テンプレート404の対処策が「ポート、プロトコルを遮断」であれば、拡散活動に含まれるポート、かつプロトコルを利用した通信を遮断することを表す。
また、立案テンプレート404の対処策が「ポート、プロトコル、サイズを遮断」であれば、拡散活動に含まれるポート、プロトコル、かつサイズを利用した通信を遮断することを表し、立案テンプレート404の対処策が「ポート、プロトコル、サイズ、端末を遮断」であれば、拡散活動に含まれるポート、プロトコル、サイズ、かつ端末を利用した通信を遮断することを表す。
そして、例えば、ID401が「1」、通信方向402が「Out」、レベル403が「1」、立案テンプレート404が「ポートを遮断」の対処策テンプレート115の場合は、端末117において、拡散活動に含まれるポート(UDP/53)へ送信する通信を遮断する対処策を立案することを表す。
The
For example, if the countermeasure of the
If the countermeasure of the
Then, for example, in the case of the
なお、対処策テンプレート115の各情報は、管理者が必要に応じて、入力または更新してもよい。
対処策テンプレート115は、CPU103により実行される対処策立案プログラム112が、対処策を立案する際に利用される。
対処策立案プログラム112の具体的な処理については、図9を用いて後述する。
The information of the
The
The specific processing of the
次に、ホワイトリスト生成プログラム108が、端末活動ログ114からホワイトリスト113を生成する処理について説明する。
Next, a process in which the white
管理者がセキュリティ対処策立案装置101を起動すると、ホワイトリスト生成プログラム108は、管理者が指示したある特定期間の端末活動ログ114を用いてホワイトリスト113を生成する。
この時、ホワイトリスト113にマルウェアの通信が混入することを防ぐため、管理者はマルウェアが組織に侵入していない期間を指示するものとする。
When the administrator activates the security
At this time, in order to prevent malware communication from being mixed in the
また、ホワイトリスト生成プログラム108は、端末活動ログ114から特定期間に行われた端末活動ログ114を取得し、送信元303に関する通信方向203が「Out」のホワイトリストと、送信先304に関する通信方向203が「In」のホワイトリストを生成する(図2参照)。
Further, the white
ホワイトリスト生成プログラム108の処理について具体例を用いて説明すると以下のとおりである。
ここで、例えば、図3に例示する端末活動ログ114が格納されており、管理者がホワイトリスト生成に利用する期間として「2017/1/1 00:00:00〜2017/1/1 00:00:02」を指示したとする。
The processing of the white
Here, for example, the terminal activity log 114 illustrated in FIG. 3 is stored, and the period used by the administrator for white list generation is "2017/1/1 00: 00: 00-2017 / 1/1 00: 00: It is assumed that "00:02" is instructed.
すると、ホワイトリスト生成プログラム108は、端末活動ログ114からホワイトリスト生成に利用する期間に合致する端末活動ログ114を取得する。
この時、ID301が「1」の端末活動ログ114が、管理者が指示した期間に合致する。
つまり、ホワイトリスト生成プログラム108は、ID301が「1」、日時302が「2017/1/1 00:00:00」、送信元303が「10.0.0.1」、送信先304が「10.0.0.254」、ポート305が「UDP/53」、プロトコル306が「DNS」、サイズ307が「82−88」、の端末活動ログ114からホワイトリスト113を生成する。
Then, the white
At this time, the terminal activity log 114 with
That is, in the white
この時、IP202が「10.0.0.1」、通信方向203が「Out」、ポート204が「UDP/53」、プロトコル205が「DNS」、サイズ206が「82−88」の情報1131を含むホワイトリスト(図2中ID201が「1」のホワイトリスト)と、IP202が「10.0.0.254」、通信方向203が「In」、ポート204が「UDP/53」、プロトコル205が「DNS」、サイズ206が「82−88」の情報1132を含むホワイトリスト(図2中ID201が「6」のホワイトリスト)と、が生成される。
At this time,
次に、端末活動取得プログラム109が、端末活動ログ114を生成する処理について説明する。
Next, a process in which the terminal
端末活動取得プログラム109は、IF201を介して端末117が行う通信(パケット)を取得する。
具体的には、ネットワーク116に存在するスイッチやルータのポートをミラーリングすることにより、端末117が行う通信のパケットを取得するものとする。
The terminal
Specifically, it is assumed that the communication packet performed by the terminal 117 is acquired by mirroring the ports of the switches and routers existing in the
端末活動プログラム109は、取得した通信のパケットから通信情報を構築し、端末活動ログとして端末活動ログ記憶部114に記録する(図3参照)。
なお、プロトコルが判定できない場合には、プロトコル306に「−」を記録する。
The
If the protocol cannot be determined, "-" is recorded in the
以下、その処理手順の具体例について説明する。
例えば、「2017/1/1 00:00:00」の日時にIPアドレス「10.0.0.1」の端末117から、IPアドレス「10.0.0.254」の端末117のUDP/53番ポートへDNSパケット(パケットサイズ82)が送信され、IPアドレス「10.0.0.254」の端末117からDNSパケットの応答(パケットサイズ88)があった場合、端末活動取得プログラム109は、日時302が「2017/1/1 00:00:00」、送信元303が「10.0.0.1」、送信先304が「10.0.0.254」、ポート305が「UDP/53」、プロトコル306が「DNS」、サイズ307が「82−88」の端末活動ログ(図3中ID301が「1」の端末活動ログ)を記録する。
Hereinafter, a specific example of the processing procedure will be described.
For example, from the terminal 117 with the IP address "10.0.0.1" to the UDP / UDP of the terminal 117 with the IP address "10.0.0.254" on the date and time of "2017/1/1 00: 00: 00". When a DNS packet (packet size 82) is transmitted to
次に、拡散活動判定プログラム110がマルウェアの拡散活動を判定し、対処端末判定プログラム111が対処対象の端末を判定し、対処策立案プログラム112が対処策を立案する処理について説明する。
Next, a process in which the spreading
図5は、拡散活動判定から対処策立案までの一連の処理の流れを示すフローチャートである。 FIG. 5 is a flowchart showing a series of processing flows from diffusion activity determination to countermeasure planning.
図5のフローチャートに基づく動作は以下のとおりである。
ステップ501:
拡散活動判定プログラム110は、セキュリティアプライアンス118が外敵からの攻撃を検知したとき、その旨を示す検知アラートを、IF102を介して受信する。
The operation based on the flowchart of FIG. 5 is as follows.
Step 5011:
When the
ステップ502:
拡散活動判定プログラム110は、ステップ501にて、検知アラートを受信すると、拡散活動の判定を行い、対処端末判定プログラム111を起動する。
なお、拡散活動判定処理の詳細については、図6を用いて後述する。
Step 502:
When the diffusion
The details of the diffusion activity determination process will be described later with reference to FIG.
ステップ503:
対処端末判定プログラム111は、対処端末の判定を行い、対処策立案プログラム112を起動する。
なお、対処端末判定処理の詳細については、図8を用いて後述する。
Step 503:
The coping terminal determination program 111 determines the coping terminal and activates the coping
The details of the coping terminal determination process will be described later with reference to FIG.
ステップ504:
対処策立案プログラム112は、対処策の立案を行い、処理を終了する。
なお、対処策立案処理の詳細については、図9を用いて後述する。
Step 504:
The
The details of the countermeasure planning process will be described later with reference to FIG.
次に、拡散活動判定プログラム110が、セキュリティアプライアンス118の検知アラートを受信した後に行う、マルウェアの拡散活動判定処理(ステップ502)の一例について説明する。
Next, an example of the malware spreading activity determination process (step 502) performed by the spreading
図6は、拡散活動判定プログラム110が行う、マルウェアの拡散活動を判定する処理(ステップ502)の流れを示すフローチャートである。
FIG. 6 is a flowchart showing the flow of the process (step 502) of determining the spread activity of malware performed by the spread
図6のフローチャートに基づく動作は以下のとおりである。
ステップ601:
拡散活動判定プログラム110は、アラート対象の端末において、ある時点(閾値秒前)からアラート発生の間に発生した端末活動を拡散活動として判定する。つまり、検知アラートの対象となった端末117を調査対象端末としてマークし、検知アラート発生日時から、閾値秒(例えば、3600秒)前まで遡り、端末活動ログ114から、調査対象端末が送信元または送信先に含まれる端末活動ログを拡散活動として判定する。
The operation based on the flowchart of FIG. 6 is as follows.
Step 601:
The diffusion
ステップ602:
拡散活動判定プログラム110は、拡散活動中の全ての端末について、ある時点(閾値秒前)からアラート発生の間に発生した端末活動を拡散活動として判定する。つまり、ステップ601で判定した拡散活動の送信元または送信先に含まれる端末117のうち、調査対象端末としてマークされていない端末117を調査対象端末としてマークし、検知アラート発生日時から、閾値秒(例えば、3600秒)前まで遡り、端末活動ログ114から、調査対象端末が送信元または送信先に含まれる端末活動ログを拡散活動として判定する。
以下、拡散活動の送信先または送信先に含まれる端末117が全てマークされるまで、拡散活動の判定を繰り返し、処理を終了する。
Step 602:
The diffusion
Hereinafter, the determination of the diffusion activity is repeated until all the destinations of the diffusion activity or the
図7は、ステップ601からステップ602までの処理の流れを説明する図であって、複数の端末117(端末A117a〜端末E117e)の端末活動(702a〜702g)とアラート701の発生との関係を模式的に示すタイムチャートである。
FIG. 7 is a diagram for explaining the flow of processing from
アラート701が端末A117aで発生し、アラート701が発生するまでに、矢印702で表される端末活動702a〜702gが行われたとする。
ここで、例えば、端末活動702aは、端末A117aから端末B117bへの通信が発生していることを表し、端末活動702fは、端末A117aから端末D117dへの通信が発生していることを表し、端末活動702d、702gは、端末B117bから端末A117aへの通信が発生していることを表す。
なお、説明を簡略化するため、端末活動に使われたポートやプロトコル、サイズは省略している。
It is assumed that the alert 701 is generated at the terminal A117a and the
Here, for example, the
For the sake of simplicity, the ports, protocols, and sizes used for terminal activities are omitted.
拡散活動判定プログラム110は、ステップS601にて、端末活動ログ114から、調査対象端末が送信元または送信先に含まれる端末活動ログを拡散活動として判定する時、端末A117aが調査対象端末としてマークされ、端末活動702d、端末活動702f、端末活動702gが拡散活動として判定される。
When the diffusion
拡散活動判定プログラム110は、図6のステップ602にて、調査対象端末が送信元または送信先に含まれる端末活動ログを拡散活動として判定する時、ステップ601で判定した拡散活動702d、702f、702gより、端末B117b及び端末D117dが調査対象端末としてマークされ、続いて、調査対象端末としてマークされた端末B117b及び端末D117dから、拡散活動702eが新たな拡散活動として判定される。さらに、新たに判定された拡散活動702eから、端末C117cが調査対象端末としてマークされる。
In
この時、端末C117cは、検知アラート発生日時から、閾値秒(例えば、3600秒)前までの期間に端末活動を行っていないため、処理を終了する。 At this time, since the terminal C117c does not perform the terminal activity in the period from the detection alert occurrence date and time to the threshold second (for example, 3600 seconds) before, the process ends.
次に、対処端末判定プログラム111が行う、対処端末判定処理(ステップ503)について説明する。
図8は、対処端末判定プログラム111が行う、対処端末を判定する処理(ステップ503)の流れを示すフローチャートである。
Next, the coping terminal determination process (step 503) performed by the coping terminal determination program 111 will be described.
FIG. 8 is a flowchart showing the flow of the processing (step 503) for determining the coping terminal, which is performed by the coping terminal determination program 111.
図8のフローチャートに基づく動作は以下のとおりである。
ステップ801:
対処端末判定プログラム111は、拡散活動に含まれる端末を防止対処端末として判定する。つまり、ステップ502で判定された拡散活動の送信元または送信先に含まれる端末117を防止対処端末として判定する。
The operation based on the flowchart of FIG. 8 is as follows.
Step 801:
The coping terminal determination program 111 determines a terminal included in the spreading activity as a preventive coping terminal. That is, the terminal 117 included in the source or destination of the diffusion activity determined in
ステップ802:
対処端末判定プログラム111は、拡散活動の通信先が閾値以上か否かを判定する。つまり、ステップ502で判定された拡散活動の送信先に含まれる端末117の端末数を算出し、端末数が閾値、例えば3以上である場合(Yes)は、ステップ803に進み、端末数が閾値より小さい場合(No)は、処理を終了する。
Step 802:
The coping terminal determination program 111 determines whether or not the communication destination of the spreading activity is equal to or greater than the threshold value. That is, the number of
ステップ803:
対処端末判定プログラム111は、すべての端末117を予防対処端末として判定する。
Step 803:
The coping terminal determination program 111 determines all
上述したステップ801からステップ802までの処理の流れを、図7を用いて、さらに詳しく説明する。
The flow of processing from
対処端末判定プログラム111は、図5のステップ502で判定された拡散活動の送信元または送信先に含まれる端末117を図8のステップ801で防止対処端末として判定する。この時、端末B117aの拡散活動702d、702g、端末A117aの拡散活動702e、端末D117dの拡散活動702eより、端末A117a、端末B117b、端末C117c、端末D117dが防止対処端末として判定される。
The coping terminal determination program 111 determines the terminal 117 included in the source or destination of the diffusion activity determined in
対処端末判定プログラム111は、上述したようにステップ502で判定された拡散活動の送信先に含まれる端末117(端末A、端末C、端末D)の端末数を算出し、端末数が閾値、例えば3以上であればステップ803に進み、端末数が閾値より小さければ処理を終了するが、この時、拡散活動の送信先に含まれる端末117(端末A117a、端末C117c、端末d117d)の端末数は3であるため、ステップ803に進む。
The coping terminal determination program 111 calculates the number of terminals 117 (terminal A, terminal C, terminal D) included in the transmission destination of the diffusion activity determined in
対処端末判定プログラム111は、すべての端末117を予防対処端末として判定する(ステップ803)。
この時、端末A117a、端末B117b、端末C117c、端末D117d、端末E117eが予防対処端末として判定される。
The coping terminal determination program 111 determines all
At this time, the terminal A117a, the terminal B117b, the terminal C117c, the terminal D117d, and the terminal E117e are determined as preventive countermeasure terminals.
ここで、防止対処端末とは、既にマルウェアに感染している、或いは、既にマルウェアに感染している可能性がある端末と判断していることを表し、後述する対処策の立案ではこれ以上感染端末が増えないようにするため、通信方向「Out」の対処策を立案する。
また、予防対処端末では、当該端末がマルウェアに感染することを予防するため、後述する対処策の立案では、通信方向「In」の対処策を立案する。
Here, the preventive countermeasure terminal means that it is determined that the terminal is already infected with malware or may already be infected with malware, and in the planning of countermeasures described later, it is further infected. In order to prevent the number of terminals from increasing, devise countermeasures for the communication direction "Out".
Further, in the preventive countermeasure terminal, in order to prevent the terminal from being infected with malware, a countermeasure for the communication direction "In" is planned in the planning of the countermeasure to be described later.
なお、ステップ803では、すべての端末117を予防対処端末として判定したが、既に防止対処端末と判定されている端末は、予防対処端末の対象から除外してもよい。
なお、予防対処端末の有無は、拡散活動の送信先に含まれる端末の数で決定される。これは、ワーム型のマルウェアのように、拡散のスピードが早いマルウェアに対して先回りの対策(予防)を行うための措置である。
In
The presence or absence of preventive measures terminals is determined by the number of terminals included in the destinations of diffusion activities. This is a measure to take proactive measures (prevention) against malware that spreads quickly, such as worm-type malware.
次に、対処策立案プログラム112が行う、対処策立案処理(ステップ504)について説明する。
Next, the countermeasure planning process (step 504) performed by the
図9は、対処策立案プログラム112が行う、対処策を立案する処理(ステップ504)の流れを示すフローチャートである。
FIG. 9 is a flowchart showing a flow of a process (step 504) for planning a countermeasure, which is performed by the
図9のフローチャートに基づく動作は以下のとおりである。
ステップ901:
対処策立案プログラム112は、ステップ503で判断した防止対処端末(図7の端末A117a、端末C117c、端末d117d、参照)と、ステップ502で判断した拡散活動(図7の拡散活動702d、702e、702f、702g)の中から、まだ対処策を立案していない防止対処端末と、その拡散活動を抽出し、すべての防止対処端末と、すべての拡散活動との組み合わせについて、以下のステップ902からステップ908までの処理を繰り返す。
The operation based on the flowchart of FIG. 9 is as follows.
Step 901:
The
ステップ902:
対処策立案プログラム112は、レベル「i」に1を設定する。
Step 902:
The
ステップ903:
対処策立案プログラム112は、ステップ901で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「Out」、レベル「i」の対処策を立案する。
ここで、例えば、通信方向402が「Out」、立案テンプレート404が「ポートを遮断」の対処策テンプレートである場合、立案する対処策は、ステップ901で抽出した防止対処端末が送信する、ステップ901で抽出した拡散活動が利用するポート305宛への通信を遮断する対処策を立案する。
Step 903:
The
Here, for example, when the
ステップ904:
対処策立案プログラム112は、ステップ901で抽出した防止対処端末に該当するホワイトリスト113と、ステップ903で立案した端末117に対する対処策と、を比較する。そして、立案した対処策が、ホワイトリスト113に存在している場合(Yes)には、ステップ905に進み、存在していない場合(No)には、ステップ906に進む。
Step 904:
The
ステップ905:
対処策立案プログラム112は、すべてのレベルの対処策を試したか否か判定する。そして、判定結果、すべてのレベルの対処策を立案済みである場合(Yes)は、ステップ907に進み、まだ立案していないレベルの対処策が存在する場合(No)は、ステップ908に進む。
Step 905:
The
ステップ906:
対処策立案プログラム112は、ステップ904で立案した対処策を管理者に通知する。
なお、ステップ904で立案した対処策が既に通知済みの対処策と同一の場合は、管理者への通知を省略してもよい。
Step 906:
The
If the countermeasure devised in
ステップ907:
対処策立案プログラム112は、ステップ901で抽出した防止対処端末と、拡散活動と、において対処策が立案できなかったことを管理者に通知する。
Step 907:
The
ステップ908:
対処策立案プログラム112は、iに1を加え、ステップ903に戻る。
Step 908:
The
ステップ909:
対処策立案プログラム112は、ステップ503で判断した予防対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない予防対処端末と、拡散活動を抽出し、すべての予防対処端末と、すべての拡散活動との組み合わせについて、以下のステップ910からステップ916までの処理を繰り返す。
Step 909:
The
ステップ910:
対処策立案プログラム112は、iに1を設定する。
Step 910:
The
ステップ911:
対処策立案プログラム112は、ステップ909で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「In」、レベル「i」の対処策を立案する。
ここで、例えば、通信方向402が「In」、立案テンプレート404が「ポートを遮断」の対処策テンプレートである場合、立案する対処策は、ステップ909で抽出した予防対処端末が受信する、ステップ909で抽出した拡散活動が利用するポート305宛への通信を遮断する対処策を立案する。
Step 911:
The
Here, for example, when the
ステップ912:
対処策立案プログラム112は、ステップ909で抽出した予防対処端末に該当するホワイトリスト113と、ステップ911で立案した対処策と、を比較する。そして、比較の結果、立案した対処策に合致する通信が、ホワイトリスト113に存在している場合(Yes)には、ステップ913に進み、存在していない場合(No)には、ステップ914に進む。
Step 912:
The
ステップ913:
対処策立案プログラム112は、すべてのレベル(レベル1〜4)の対処策を試したか否か判定する。そして、判定結果、すべてのレベルの対処策を立案済みである場合(Yes)は、ステップ915に進み、まだ立案していないレベルの対処策が存在する場合(No)はステップ916に進む。
Step 913:
The
ステップ914:
対処策立案プログラム112は、ステップ912で立案した対処策を管理者に通知する。
なお、ステップ912で立案した対処策が既に通知済みの対処策と同一の場合は、管理者への通知を省略してもよい。
Step 914:
The
If the countermeasures devised in
ステップ915:
対処策立案プログラム112は、ステップ909で抽出した予防対処端末と、拡散活動と、において対処策が立案できなかったことを管理者に通知する。
Step 915:
The
ステップ916:
対処策立案プログラム112は、iに1を加え、ステップ911に戻る。
Step 916:
The
次に、ステップ901からステップ916までの処理の流れを、さらに具体例を用いて説明する。
例えば、拡散活動判定(ステップ502)において、図3に示す、端末活動ログ114のID301が「6」と、「7」と、「8」と、の端末活動が拡散活動として判定され、対処端末判定(ステップ503)において、端末A117aと、端末B117bと、が防止対処端末として判定され、端末C117cが予防対処端末として判定されたとする。
Next, the flow of processing from step 901 to step 916 will be described with reference to a specific example.
For example, in the diffusion activity determination (step 502), the terminal activities of the terminal activity log 114 with
なお、ここでは、説明を簡単にするため、上述した端末活動のみが拡散活動として、上述した端末のみが防止対処端末と予防対処端末として判定されたとする。また、端末A117aのIPアドレスを「10.0.0.1」、端末B117bのIPアドレスを「10.0.0.2」、端末C117cのIPアドレスを「10.0.0.3」とする。なお、図2に示されたホワイトリスト113と、図4に示された対処策テンプレート115を用いて対処策の立案を行うものとする。
Here, for the sake of simplicity, it is assumed that only the above-mentioned terminal activity is determined as the diffusion activity, and only the above-mentioned terminal is determined as the prevention coping terminal and the prevention coping terminal. Further, the IP address of the terminal A117a is set to "10.0.0.1", the IP address of the terminal B117b is set to "10.0.0.2", and the IP address of the terminal C117c is set to "10.0.0.3". To do. It should be noted that the
対処策立案プログラム112は、ステップ503で判断した防止対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない防止対処端末と、拡散活動を抽出し、すべての防止対処端末と、すべての拡散活動との組み合わせについて、ステップ902からステップ908までの処理を繰り返す(ステップ901)。ここで、まだ対処策を立案していない防止対処端末として端末A117a、拡散活動としてID301が「6」の拡散活動が抽出されたとする。
The
対処策立案プログラム112は、iに1を設定する(ステップ902)。この時、iの値は1となる。
The
対処策立案プログラム112は、ステップ901で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「Out」、レベル「i」の対処策を立案する(ステップ903)。この時、立案される対処策は、「端末A117aが送信する、TCP/445番宛への通信を遮断する」となる。
The
対処策立案プログラム112は、ステップ901で抽出した防止対処端末に該当するホワイトリスト113と、ステップ903で立案した対処策と、を比較し、立案した対処策が、ホワイトリスト113に存在している場合には、ステップ905に進み、存在していない場合には、ステップ906に進む(ステップ904)。この時、立案した対処策「端末A117aが送信する、TCP/445番宛への通信を遮断する」は、ホワイトリスト113のID201「3」のホワイトリストに存在するため、ステップ905に進む。
The
対処策立案プログラム112は、すべてのレベル(レベル1〜4)の対処策を立案済みである場合は、ステップ907に進み、まだ立案していないレベルの対処策が存在する場合はステップ908に進む(ステップ905)。この時、まだ立案していないレベルの対処策が存在するため、ステップ908に進む。
The
対処策立案プログラム112は、iに1を加え、ステップ903に戻る(ステップ908)。この時、iの値は2となる。
The
対処策立案プログラム112は、ステップ901で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「Out」、レベル「i」の対処策を立案する(ステップ903)。この時、立案される対処策は、「端末A117aが送信する、TCP/445番宛へのSMBv1プロトコル通信を遮断する」となる。
The
対処策立案プログラム112は、ステップ901で抽出した防止対処端末に該当するホワイトリスト113と、ステップ903で立案した対処策と、を比較し、立案した対処策が、ホワイトリスト113に存在している場合には、ステップ905に進み、存在していない場合には、ステップ906に進む(ステップ904)。この時、立案した対処策「端末A117aが送信する、TCP/445番宛へのSMBv1通信を遮断する」は、ホワイトリスト113に存在しないため、ステップ906に進む。
The
対処策立案プログラム112は、ステップ904で立案した対処策を管理者に通知する(ステップ906)。この時、立案した対処策「端末A117aが送信する、TCP/445番宛へのSMBv1通信を遮断する」が、管理者へ通知される。
The
対処策立案プログラム112は、ステップ503で判断した防止対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない防止対処端末と、拡散活動を抽出し、すべての防止対処端末と、すべての拡散活動との組み合わせについて、ステップ902からステップ908までの処理を繰り返す(ステップ901)。
ここで、まだ対処策を立案していない防止対処端末として端末A117a、拡散活動としてID301が「7」の拡散活動が抽出されたとする。この時、ID301が「7」の拡散活動からは、ID301が「6」の拡散活動と同一の対処策が立案されるため、説明を省略する。
The
Here, it is assumed that the terminal A117a is extracted as the preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
対処策立案プログラム112は、ステップ503で判断した防止対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない防止対処端末と、拡散活動を抽出し、すべての防止対処端末と、すべての拡散活動との組み合わせについて、ステップ902からステップ908までの処理を繰り返す(ステップ901)。
ここで、まだ対処策を立案していない防止対処端末として端末A117a、拡散活動としてID301が「8」の拡散活動が抽出されたとする。
The
Here, it is assumed that the terminal A117a is extracted as the preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
対処策立案プログラム112は、iに1を設定する(ステップ902)。この時、iの値は1となる。
The
対処策立案プログラム112は、ステップ901で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「Out」、レベル「i」の対処策を立案する(ステップ903)。この時、立案される対処策は、「端末A117aが送信する、TCP/22番宛への通信を遮断する」となる。
The
対処策立案プログラム112は、ステップ901で抽出した防止対処端末に該当するホワイトリスト113と、ステップ903で立案した対処策と、を比較し、立案した対処策が、ホワイトリスト113に存在している場合には、ステップ905に進み、存在していない場合には、ステップ906に進む(ステップ904)。この時、立案した対処策「端末A117aが送信する、TCP/22番宛への通信を遮断する」は、ホワイトリスト113に存在しないため、ステップ906に進む。
The
対処策立案プログラム112は、ステップ904で立案した対処策を管理者に通知する(ステップ906)。
この時、立案した対処策「端末A117aが送信する、TCP/22番宛への通信を遮断する」が、管理者へ通知される。
The
At this time, the administrator is notified of the proposed countermeasure "blocking the communication sent by the terminal A117a to the TCP / 22 address".
対処策立案プログラム112は、ステップ503で判断した防止対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない防止対処端末と、拡散活動を抽出し、すべての防止対処端末と、すべての拡散活動との組み合わせについて、ステップ902からステップ908までの処理を繰り返す(ステップ901)。
ここで、まだ対処策を立案していない防止対処端末として端末B117b、拡散活動としてID301が「6」の拡散活動が抽出されたとする。
The
Here, it is assumed that the terminal B117b is extracted as the preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
対処策立案プログラム112は、iに1を設定する(ステップ902)。この時、iの値は1となる。
The
対処策立案プログラム112は、ステップ901で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「Out」、レベル「i」の対処策を立案する(ステップ903)。
この時、立案される対処策は、「端末B117bが送信する、TCP/445番宛への通信を遮断する」となる。
The
At this time, the countermeasure to be devised is "to block the communication sent by the terminal B117b to the TCP / 445 address".
対処策立案プログラム112は、ステップ901で抽出した防止対処端末に該当するホワイトリスト113と、ステップ903で立案した対処策と、を比較し、立案した対処策が、ホワイトリスト113に存在している場合には、ステップ905に進み、存在していない場合には、ステップ906に進む(ステップ904)。
この時、立案した対処策「端末B117bが送信する、TCP/445番宛への通信を遮断する」は、ホワイトリスト113のID201「4」のホワイトリストに存在するため、ステップ905に進む。
The
At this time, the proposed countermeasure "blocking the communication sent by the terminal B117b to the TCP / 445th address" exists in the white list of the
対処策立案プログラム112は、すべてのレベルの対処策を立案済みである場合は、ステップ907に進み、まだ立案していないレベルの対処策が存在する場合はステップ908に進む(ステップ905)。
この時、まだ立案していないレベルの対処策が存在するため、ステップ908に進む。
The
At this time, since there is a countermeasure at a level that has not yet been planned, the process proceeds to step 908.
対処策立案プログラム112は、iに1を加え、ステップ903に戻る(ステップ908)。この時、iの値は2となる。
対処策立案プログラム112は、ステップ901で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「Out」、レベル「i」の対処策を立案する(ステップ903)。
この時、立案される対処策は、「端末B117bが送信する、TCP/445番宛へのSMBv1プロトコル通信を遮断する」となる。
The
The
At this time, the countermeasure to be devised is "block the SMBv1 protocol communication sent by the terminal B117b to the TCP / 445 number".
対処策立案プログラム112は、ステップ901で抽出した防止対処端末に該当するホワイトリスト113と、ステップ903で立案した対処策と、を比較し、立案した対処策に合致する通信が、ホワイトリスト113に存在している場合には、ステップ905に進み、存在していない場合には、ステップ906に進む(ステップ904)。
この時、立案した対処策「端末B117bが送信する、TCP/445番宛へのSMBv1プロトコル通信を遮断する」は、ホワイトリスト113のID201「4」のホワイトリストに存在するため、ステップ905に進む。
The
At this time, the proposed countermeasure "blocking the SMBv1 protocol communication transmitted by the terminal B117b to the TCP / 445 number" exists in the white list of
対処策立案プログラム112は、すべてのレベルの対処策を立案済みである場合は、ステップ907に進み、まだ立案していないレベルの対処策が存在する場合はステップ908に進む(ステップ905)。
この時、まだ立案していないレベルの対処策が存在するため、ステップ908に進む。
The
At this time, since there is a countermeasure at a level that has not yet been planned, the process proceeds to step 908.
対処策立案プログラム112は、iに1を加え、ステップ903に戻る」(ステップ908)。この時、iの値は3となる。
The
対処策立案プログラム112は、ステップ901で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「Out」、レベル「i」の対処策を立案する(ステップ903)。
この時、立案される対処策は、「端末B117bが送信する、TCP/445番宛へのSMBv1プロトコル通信(パケットサイズ54−88)を遮断する」となる。
The
At this time, the proposed countermeasure is "block the SMBv1 protocol communication (packet size 54-88) transmitted by the terminal B117b to TCP / 445".
対処策立案プログラム112は、ステップ901で抽出した防止対処端末に該当するホワイトリスト113と、ステップ903で立案した対処策と、を比較し、立案した対処策に合致する通信が、ホワイトリスト113に存在している場合には、ステップ905に進み、存在していない場合には、ステップ906に進む(ステップ904)。
この時、立案した対処策「端末B117bが送信する、TCP/445番宛へのSMBv1プロトコル通信(パケットサイズ54−88)を遮断する」は、ホワイトリスト113のID201「4」のホワイトリストに合致するため、ステップ905に進む。
The
At this time, the proposed countermeasure "blocking the SMBv1 protocol communication (packet size 54-88) transmitted by the terminal B117b to TCP / 445" matches the white list of
対処策立案プログラム112は、すべてのレベルの対処策を立案済みである場合は、ステップ907に進み、まだ立案していないレベルの対処策が存在する場合はステップ908に進む(ステップ905)。
この時、すべてのレベルの対処策を立案済みであるため、ステップ907に進む。
The
At this time, since all levels of countermeasures have been devised, the process proceeds to step 907.
対処策立案プログラム112は、ステップ901で抽出した防止対処端末と、拡散活動と、において対処策が立案できなかったことを管理者に通知する(ステップ907)。
この時、端末B117bにおいて、ID301が「6」の拡散活動に対する対処策が立案できなかったことを管理者に通知する。
The
At this time, at the terminal B117b, the administrator is notified that the
対処策立案プログラム112は、ステップ503で判断した防止対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない防止対処端末と、拡散活動を抽出し、すべての防止対処端末と、すべての拡散活動との組み合わせについて、ステップ902からステップ908までの処理を繰り返す(ステップ901)。
ここで、まだ対処策を立案していない防止対処端末として端末B117b、拡散活動としてID301が「7」の拡散活動が抽出されたとする。この時、ID301が「7」の拡散活動からは、ID301が「6」の拡散活動と同様対処策が立案できないため、説明を省略する。
The
Here, it is assumed that the terminal B117b is extracted as the preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
対処策立案プログラム112は、ステップ503で判断した防止対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない防止対処端末と、拡散活動を抽出し、すべての防止対処端末と、すべての拡散活動との組み合わせについて、ステップ902からステップ908までの処理を繰り返す(ステップ901)。
ここで、まだ対処策を立案していない防止対処端末として端末B117b、拡散活動としてID301が「8」の拡散活動が抽出されたとする。この時、説明を省略するが、ID301が「8」の拡散活動からは、対処策「端末B117bが送信する、TCP/22番宛への通信を遮断する」が立案され、管理者に通知される。
The
Here, it is assumed that the terminal B117b is extracted as the preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
以上が、防止対処端末における対処策の立案結果となる。続いて、予防対処端末における対処策の立案について説明する。 The above is the result of planning the countermeasures in the preventive countermeasure terminal. Next, the planning of countermeasures in the preventive countermeasure terminal will be described.
対処策立案プログラム112は、ステップ503で判断した予防対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない予防対処端末と、拡散活動を抽出し、すべての予防対処端末と、すべての拡散活動との組み合わせについて、ステップ910からステップ916までの処理を繰り返す(ステップ909)。
ここで、まだ対処策を立案していない予防対処端末として端末C117c、拡散活動としてID301が「6」の拡散活動が抽出されたとする。
The
Here, it is assumed that the terminal C117c is extracted as a preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
対処策立案プログラム112は、iに1を設定する(ステップ910)。この時、iの値は1となる。
The
対処策立案プログラム112は、ステップ909で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「In」、レベル「i」の対処策を立案する(ステップ911)。
この時、立案される対処策は、「端末C117cが受信する、TCP/445番宛への通信を遮断する」となる。
The
At this time, the countermeasure to be devised is "to block the communication received by the terminal C117c to the TCP / 445 address".
対処策立案プログラム112は、ステップ909で抽出した予防対処端末に該当するホワイトリスト113と、ステップ911で立案した対処策と、を比較し、立案した対処策が、ホワイトリスト113に存在している場合には、ステップ913に進み、存在していない場合には、ステップ914に進む(ステップ912)。
この時、立案した対処策「端末C117cが受信する、TCP/445番宛への通信を遮断する」は、ホワイトリスト113のID201「5」のホワイトリストに存在するため、ステップ913に進む。
The
At this time, since the proposed countermeasure "blocking the communication received by the terminal C117c to the TCP / 445 address" exists in the white list of
対処策立案プログラム112は、すべてのレベルの対処策を立案済みである場合は、ステップ915に進み、まだ立案していないレベルの対処策が存在する場合はステップ916に戻る(ステップ913)。
この時、まだ立案していないレベルの対処策が存在するため、ステップ916に進む。
The
At this time, since there is a countermeasure at a level that has not yet been planned, the process proceeds to step 916.
対処策立案プログラム112は、iに1を加え、ステップ911に進む(ステップ916)。この時、iの値は2となる。
The
対処策立案プログラム112は、ステップ909で抽出した拡散活動について、対処策テンプレート115を活用して、通信方向「In」、レベル「i」の対処策を立案する(ステップ911)。この時、立案される対処策は、「端末C117cが受信する、TCP/445番宛へのSMBv1プロトコル通信を遮断する」となる。
The
対処策立案プログラム112は、ステップ909で抽出した予防対処端末に該当するホワイトリスト113と、ステップ911で立案した対処策と、を比較し、立案した対処策が、ホワイトリスト113に存在している場合には、ステップ913に進み、存在していない場合には、ステップ914に進む(ステップ912)。
この時、立案した対処策「端末C117cが受信する、TCP/445番宛へのSMBv1プロトコル通信を遮断する」は、ホワイトリスト113に存在しないため、ステップ914に進む。
The
At this time, since the proposed countermeasure "blocking the SMBv1 protocol communication received by the terminal C117c to the TCP / 445 number" does not exist in the
対処策立案プログラム112は、ステップ912で立案した対処策を管理者に通知する(ステップ914)。この時、立案した対処策「端末C117cが受信する、TCP/445番宛へのSMBv1プロトコル通信を遮断する」が、管理者へ通知される。
The
対処策立案プログラム112は、ステップ503で判断した予防対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない予防対処端末と、拡散活動を抽出し、すべての予防対処端末と、すべての拡散活動との組み合わせについて、ステップ910からステップ916までの処理を繰り返す(ステップ909)。
ここで、まだ対処策を立案していない予防対処端末として端末C117c、拡散活動としてID301が「7」の拡散活動が抽出されたとする。この時、ID301が「7」の拡散活動からは、ID301が「6」の拡散活動と同一の対処策が立案されるため、説明を省略する。
The
Here, it is assumed that the terminal C117c is extracted as the preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
対処策立案プログラム112は、ステップ503で判断した予防対処端末と、ステップ502で判断した拡散活動の中から、まだ対処策を立案していない予防対処端末と、拡散活動を抽出し、すべての予防対処端末と、すべての拡散活動との組み合わせについて、ステップ910からステップ916までの処理を繰り返す(ステップ909)。
ここで、まだ対処策を立案していない予防対処端末として端末C117c、拡散活動としてID301が「8」の拡散活動が抽出されたとする。この時、説明を省略するが、ID301が「8」の拡散活動からは、対処策「端末C117cが受信する、TCP/22番宛への通信を遮断する」が立案され、管理者に通知される。
The
Here, it is assumed that the terminal C117c is extracted as a preventive countermeasure terminal for which no countermeasure has been devised, and the diffusion activity with
このように、本実施例では、業務で利用する通信を予めホワイトリストとして保持しておき、サイバー攻撃検知時に、立案した対処策がホワイトリストに含まれている場合には、対処範囲を限定した新たな対処策を立案することで、業務に影響を与えないセキュリティ対処策を立案することが可能となる。 As described above, in this embodiment, the communication used for business is stored as a white list in advance, and when the countermeasures planned at the time of cyber attack detection are included in the white list, the countermeasure range is limited. By formulating new countermeasures, it is possible to formulate security countermeasures that do not affect business operations.
なお、本実施例の一部を変更して、次のように実施してもよい。アラートの検知情報から予防対処端末を判定してもよい。例えば、ワーム型マルウェアを検知した場合には、拡散活動に含まれる端末数に係らず、すべての端末を予防対処端末と判定する。これにより、先回りの対策(予防)を行うことが可能となる。 In addition, you may change a part of this Example and carry out as follows. The preventive action terminal may be determined from the alert detection information. For example, when worm-type malware is detected, all terminals are determined to be preventive countermeasure terminals regardless of the number of terminals included in the spreading activity. This makes it possible to take proactive measures (prevention).
また、立案した対処策を自動適用してもよい。例えば、立案した対処策を管理者に通知すると同時に、対処策を各端末に自動的に適用する。これにより、迅速な対処策の適用が可能となる。 In addition, the proposed countermeasures may be automatically applied. For example, the administrator is notified of the proposed countermeasures, and at the same time, the countermeasures are automatically applied to each terminal. This makes it possible to apply countermeasures promptly.
また、対処策テンプレート115の立案テンプレート404に、ネットワークレベルの対処策を加えてもよい。例えば、端末117にパッチをあてる対処策や、ウイルス対策ソフトのシグネチャを最新版に更新する対処策、端末の設定を変更する対処策、特定プログラムを停止する対処策、などを用いてもよい。これにより、ネットワークレベルの対処策が適用できない場合にも、新たな対処策を立案することが可能となる。
In addition, network-level countermeasures may be added to the
また、対処策テンプレート115の代わりに、セキュリティアプライアンスが検知した検知アラートに該当する対処策を、セキュリティベンダから入手し、対処策立案に用いてもよい。これにより、セキュリティベンダが提供する対処策が業務に影響するか否かを自動で判断し、管理者へ通知することが可能となる。
また、ホワイトリスト生成プログラム108は、定期的に実行してもよい。これにより、端末構成の変更や、業務の変更に追随したホワイトリスト113を作成することが可能となる。
Further, instead of the
Further, the white
また、ホワイトリスト113のサイズ206は、通信に利用されたパケットのサイズを格納してもよい。これにより、より対処範囲を限定した対処策を立案することが可能となる。
Further, the
また、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。 Further, the present invention is not limited to the above-described embodiment as it is, and at the implementation stage, the components can be modified and embodied within a range that does not deviate from the gist thereof. In addition, various inventions can be formed by an appropriate combination of the plurality of components disclosed in the above-described embodiment. For example, some components may be removed from all the components shown in the embodiments. In addition, components across different embodiments may be combined as appropriate.
101…セキュリティ対処策立案装置、108…ホワイトリスト生成プログラム、109…端末活動取得プログラム、110…拡散活動判定プログラム、111…対処端末判定プログラム、112…対処策立案プログラム、113…ホワイトリスト、114…端末活動ログ、115…対処策テンプレート、117…端末、118…セキュリティアプライアンス 101 ... Security countermeasure planning device, 108 ... White list generation program, 109 ... Terminal activity acquisition program, 110 ... Spread activity judgment program, 111 ... Countermeasure terminal judgment program, 112 ... Countermeasure planning program, 113 ... White list, 114 ... Terminal activity log, 115 ... Countermeasure template, 117 ... Terminal, 118 ... Security appliance
Claims (15)
前記端末ごとに、ユーザが業務で利用する通信に関係する情報をホワイトリストとして保持するホワイトリスト記憶部、
前記端末に対するサイバー攻撃を検知したとき、
前記端末ごとの前記セキュリティ対処策を立案し、当該立案した前記セキュリティ対処策が前記端末の前記ホワイトリストに存在する場合には、前記セキュリティ対処策より、通信の影響を受ける対処範囲を限定した新たなセキュリティ対処策を立案する対処策立案部、を有する
ことを特徴するセキュリティ対処策立案装置。 In a security countermeasure planning device that has a function to formulate security countermeasures against cyber attacks on terminals connected to the network
A white list storage unit that holds information related to communication used by the user in business as a white list for each terminal.
When a cyber attack on the terminal is detected
The security countermeasures for each terminal are formulated, and when the drafted security countermeasures are present in the white list of the terminal, the countermeasure range affected by communication is limited from the security countermeasures. A security countermeasure planning device, which is characterized by having a countermeasure planning department, which formulates various security countermeasures.
前記サイバー攻撃を検知した際に、前記サイバー攻撃で利用された通信を拡散活動として判定する拡散活動判定部、をさらに備え、
前記対処策立案部は、前記拡散活動ごとに前記セキュリティ対処策を立案する
ことを特徴とするセキュリティ対処策立案装置。 The security countermeasure planning device according to claim 1.
Further provided with a diffusion activity determination unit that determines the communication used in the cyber attack as a diffusion activity when the cyber attack is detected.
The countermeasure planning unit is a security countermeasure planning device characterized in that the security countermeasure is planned for each diffusion activity.
前記拡散活動に基づき、前記セキュリティ対処策を適用する前記端末を対処端末として判定する対処端末判定部、をさらに備え、
前記対処策立案部は、前記対処端末ごとに前記セキュリティ対処策を立案する
ことを特徴とするセキュリティ対処策立案装置。 The security countermeasure planning device according to claim 2.
A coping terminal determination unit that determines the terminal to which the security countermeasure is applied as a coping terminal based on the spreading activity is further provided.
The countermeasure planning unit is a security countermeasure planning device characterized in that the security countermeasure is planned for each countermeasure terminal.
前記対処策立案部は、前記端末が送信する通信を遮断する防止対処策と、前記端末が受信する通信を遮断する予防対処策と、を立案する
ことを特徴とするセキュリティ対処策立案装置。 The security countermeasure planning device according to claim 3.
The countermeasure planning unit is a security countermeasure planning device characterized in that it formulates preventive countermeasures for blocking communication transmitted by the terminal and preventive countermeasures for blocking communication received by the terminal.
前記対処端末判定部は、前記拡散活動の送信元または送信先に含まれる前記端末を、前記防止対処策を適用する前記端末とする
ことを特徴とするセキュリティ対処策立案装置。 The security countermeasure planning device according to claim 4.
The address terminal determining unit, the diffusion of the terminal included in the source or destination of the activity, the security countermeasure planning system, characterized in that said terminal for applying said anti countermeasure.
前記対処端末判定部は、前記拡散活動に含まれる前記端末の数に基づき、前記予防対処策を適用する前記端末を判定する
ことを特徴とするセキュリティ対処策立案装置。 The security countermeasure planning device according to claim 4.
The countermeasure terminal determination unit is a security countermeasure planning device characterized in that it determines the terminal to which the preventive countermeasure is applied based on the number of the terminals included in the diffusion activity.
前記端末の活動状態を示す端末活動ログを取得する端末活動取得部、
前記端末活動ログをもとに前記ホワイトリストを生成するホワイトリスト生成部、
前記サイバー攻撃を受けた前記端末に対するマルウェアの拡散活動を判定する拡散活動判定部、
前記拡散活動によって前記マルウェアに感染している、或いは、感染している可能性がある前記端末を対処端末として判定する対処端末判定部、
を備え、
前記対処策立案部は、前記対処端末に対して、前記マルウェアに対する対処策を立案する、
ことを特徴とするセキュリティ対処策立案装置。 The security countermeasure planning device according to claim 1.
A terminal activity acquisition unit that acquires a terminal activity log indicating the activity status of the terminal,
A white list generator that generates the white list based on the terminal activity log,
A spreading activity determination unit that determines the spreading activity of malware on the terminal that has been attacked by the cyber attack.
A coping terminal determination unit that determines the terminal that is or may be infected with the malware by the spreading activity as a coping terminal.
With
The countermeasure planning unit devises a countermeasure against the malware for the countermeasure terminal.
A security countermeasure planning device characterized by this.
前記ホワイトリストを一意に識別するID、前記ホワイトリストの対象となる前記対処端末のIPアドレス、通信方向、ポート、プロトコル、前記通信のパケットサイズ、を含み、
前記通信方向は、前記ホワイトリストが、前記IPアドレスが送信する通信を対象とする「Out」、または前記ホワイトリストが、前記IPアドレスが受信する通信を対象とする「In」の前記セキュリティ対処策を含み、
前記端末活動ログは、
前記端末活動ログを一意に識別するID、
前記端末活動ログが発生した日時、前記通信の送信元、前記通信の送信先、前記通信の送信先ポート、前記通信のプロトコル、前記通信に含まれるパケットのサイズを含み、
前記セキュリティ対処策は、
前記セキュリティ対処策のテンプレートを一意に識別するID、前記対処策を適用する 前記通信方向、前記対処策のレベル、前記対処策を立案する際に用いる立案テンプレート を含む、
ことを特徴とするセキュリティ対処策立案装置。 The security countermeasure planning device according to claim 7.
Includes an ID that uniquely identifies the white list, the IP address, communication direction, port, protocol, and packet size of the communication of the coping terminal that is the target of the white list.
The communication direction is the security countermeasure of "Out" in which the white list targets the communication transmitted by the IP address, or "In" in which the white list targets the communication received by the IP address. Including
The terminal activity log is
An ID that uniquely identifies the terminal activity log,
Includes the date and time when the terminal activity log occurred, the source of the communication, the destination of the communication, the destination port of the communication, the protocol of the communication, and the size of the packet included in the communication.
The security countermeasure is
Includes an ID that uniquely identifies the security countermeasure template, the communication direction to which the countermeasure is applied, the level of the countermeasure, and a planning template used when planning the countermeasure.
A security countermeasure planning device characterized by this.
前記端末ごとに、ユーザが業務で利用する通信に関係する情報をホワイトリストとして保持し、
前記端末に対するサイバー攻撃を検知したとき、
前記端末ごとの前記セキュリティ対処策を立案し、当該立案した前記セキュリティ対処策が前記端末の前記ホワイトリストに存在する場合には、前記セキュリティ対処策より、通信の影響を受ける対処範囲を限定した新たなセキュリティ対処策を立案する、
ことを特徴するセキュリティ対処策立案方法。 In the security countermeasure planning method that has the function of formulating security countermeasures against cyber attacks on terminals connected to the network
For each terminal, information related to communication used by the user in business is retained as a white list.
When a cyber attack on the terminal is detected
The security countermeasures for each terminal are formulated, and when the drafted security countermeasures are present in the white list of the terminal, the countermeasure range affected by communication is limited from the security countermeasures. Develop security measures,
A security countermeasure planning method that is characterized by this.
前記サイバー攻撃を検知した際に、前記サイバー攻撃で利用された通信を拡散活動として判定し、
前記拡散活動ごとに前記セキュリティ対処策を立案する
ことを特徴とするセキュリティ対処策立案方法。 The security countermeasure planning method according to claim 9.
When the cyber attack is detected, the communication used in the cyber attack is determined as a spreading activity, and the communication is determined as a spreading activity.
A security countermeasure planning method, characterized in that the security countermeasure is formulated for each diffusion activity.
前記拡散活動に基づき、前記セキュリティ対処策を適用する前記端末を対処端末として判定し、
前記対処端末ごとに前記セキュリティ対処策を立案する
ことを特徴とするセキュリティ対処策立案方法。 The security countermeasure planning method according to claim 10.
Based on the spreading activity, the terminal to which the security countermeasure is applied is determined as a countermeasure terminal, and the terminal is determined.
A security countermeasure planning method, characterized in that the security countermeasure is formulated for each countermeasure terminal.
前記端末が送信する通信を遮断する防止対処策と、前記端末が受信する通信を遮断する予防対処策と、を立案する
ことを特徴とするセキュリティ対処策立案方法。 The security countermeasure planning method according to claim 11.
A security countermeasure planning method, which comprises planning a preventive measure for blocking communication transmitted by the terminal and a preventive measure for blocking communication received by the terminal.
前記拡散活動の送信元または送信先に含まれる前記端末を、前記防止対処策を適用する前記端末とする
ことを特徴とするセキュリティ対処策立案方法。 The security countermeasure planning method according to claim 12.
Security countermeasure planning method characterized by the terminal included in the source or destination of the proliferation activities, and the terminal for applying the anti-countermeasure.
前記拡散活動に含まれる前記端末の数に基づき、前記予防対処策を適用する前記端末を判定する
ことを特徴とするセキュリティ対処策立案方法。 The security countermeasure planning method according to claim 12.
A security countermeasure planning method, characterized in that the terminal to which the preventive countermeasure is applied is determined based on the number of the terminals included in the diffusion activity.
前記端末の活動状態を示す端末活動ログを取得するステップ、
前記端末活動ログをもとに前記ホワイトリストを生成するステップ、
前記サイバー攻撃を受けた前記端末に対するマルウェアの拡散活動を判定するステップ、
前記拡散活動によって前記マルウェアに感染している、或いは、感染している可能性がある前記端末を対処端末として判定するステップ、
を備え、
前記対処端末に対して、前記セキュリティ対処策を立案する、
ことを特徴とするセキュリティ対処策立案方法。
The security countermeasure planning method according to claim 9.
A step of acquiring a terminal activity log indicating the activity status of the terminal,
Steps to generate the white list based on the terminal activity log,
Steps to determine malware spreading activity on the terminal that has been attacked by the cyber attack,
A step of determining a terminal that is or may be infected with the malware by the spreading activity as a coping terminal.
With
To formulate the security countermeasure for the countermeasure terminal.
A security countermeasure planning method characterized by this.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018027979A JP6889673B2 (en) | 2018-02-20 | 2018-02-20 | Security Countermeasure Planning Equipment and Methods |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018027979A JP6889673B2 (en) | 2018-02-20 | 2018-02-20 | Security Countermeasure Planning Equipment and Methods |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019145996A JP2019145996A (en) | 2019-08-29 |
JP6889673B2 true JP6889673B2 (en) | 2021-06-18 |
Family
ID=67772777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018027979A Active JP6889673B2 (en) | 2018-02-20 | 2018-02-20 | Security Countermeasure Planning Equipment and Methods |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6889673B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7390135B2 (en) | 2019-08-30 | 2023-12-01 | 株式会社日立産機システム | power converter |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4033692B2 (en) * | 2002-03-08 | 2008-01-16 | 富士通株式会社 | Firewall security management method and management program thereof |
US7913303B1 (en) * | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
JP2005071218A (en) * | 2003-08-27 | 2005-03-17 | Nec Fielding Ltd | Unauthorized access defense system, policy management device, unauthorized access defense method, and program |
JP2014123996A (en) * | 2014-04-02 | 2014-07-03 | Mitsubishi Electric Corp | Network monitoring apparatus and program |
-
2018
- 2018-02-20 JP JP2018027979A patent/JP6889673B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019145996A (en) | 2019-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11310285B2 (en) | Adaptive network security policies | |
US10135864B2 (en) | Latency-based policy activation | |
US9807115B2 (en) | System and a method for identifying the presence of malware and ransomware using mini-traps set at network endpoints | |
CN108353079B (en) | Detection of cyber threats against cloud-based applications | |
US9807114B2 (en) | System and a method for identifying the presence of malware using mini-traps set at network endpoints | |
EP3009949B1 (en) | System and method for real-time customized threat protection | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
US9077692B1 (en) | Blocking unidentified encrypted communication sessions | |
US7237267B2 (en) | Policy-based network security management | |
US20070094491A1 (en) | Systems and methods for dynamically learning network environments to achieve adaptive security | |
Ahmed et al. | Modelling cyber security for software-defined networks those grow strong when exposed to threats: Analysis and propositions | |
JP6889673B2 (en) | Security Countermeasure Planning Equipment and Methods | |
Kumar | Dos attacks on cloud platform: Their solutions and implications | |
KR101343693B1 (en) | Network security system and method for process thereof | |
Devi et al. | Cloud-based DDoS attack detection and defence system using statistical approach | |
Bijalwan et al. | Survey and research challenges of botnet forensics | |
Chen et al. | An Internet-worm early warning system | |
EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
Desai et al. | Denial of service attack defense techniques | |
Anbar et al. | NADTW: new approach for detecting TCP worm | |
JP6286314B2 (en) | Malware communication control device | |
JP4710889B2 (en) | Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program | |
Banafar et al. | Secure cloud environment using hidden markov model and rule based generation | |
US20230051016A1 (en) | Systems and methods for network monitoring, reporting, and risk mitigation | |
Cheetancheri et al. | Modelling a computer worm defense system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200316 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210302 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210408 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210518 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210521 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6889673 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |