JP7006704B2 - 情報処理装置、情報処理システム、情報処理方法、及び、プログラム - Google Patents
情報処理装置、情報処理システム、情報処理方法、及び、プログラム Download PDFInfo
- Publication number
- JP7006704B2 JP7006704B2 JP2019559611A JP2019559611A JP7006704B2 JP 7006704 B2 JP7006704 B2 JP 7006704B2 JP 2019559611 A JP2019559611 A JP 2019559611A JP 2019559611 A JP2019559611 A JP 2019559611A JP 7006704 B2 JP7006704 B2 JP 7006704B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- policy
- source
- communication
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2135—Metering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
まず、本発明に関連する技術を説明する。
以下、図面を参照して、本発明における第1の実施形態に係る情報処理装置10について説明する。
まず、図面を参照して、第1の実施形態に係る情報処理装置10の構成について、説明する。
次に、第1の実施形態に係る情報処理装置10の動作について、図面を参照して説明する。
このように、第1の実施形態に係る情報処理装置10は、不正な侵入を必要とせずに、不審な通信を検知するための情報(例えば、通信の送信元)を得るとの効果を奏することができる。
情報処理装置10が抽出した送信元を用いて通信データを選択すると、選択後の通信データは、所定の方針に基づいて抽出された送信元に関連する通信データである。
まず、第2の実施形態に係る情報処理装置11の構成について、図面を参照して説明する。
次に、図面を参照して、第2の実施形態に係る情報処理装置11の動作について説明する。
まず、データ抽出部111は、通信データ全体を、抽出対象とする(ステップS240)。
データ抽出部111は、送信元(例えば、送信元「A」)を用いて通信データから抽出対象の通信データを選択する(ステップS250)。なお、送信元抽出部131が、抽出した送信元を用いて通信データを選択している場合、データ抽出部111は、そのデータを用いてもよい。
このように、第2の実施形態に係る情報処理装置11は、第1の実施形態の効果に加え、さらに送信元を限定するとの効果を得ることができる。
次に、図面を参照して、情報処理装置10及び情報処理装置11の概要を説明する。
情報処理装置10、11、及び12にハードウェア構成について、情報処理装置10を用いて説明する。
次に、図面を参照して、情報処理装置10を含む情報処理システム50について説明する。
11 情報処理装置
12 情報処理装置
20 指示装置
30 表示装置
40 ファイアウォール
50 情報処理システム
60 情報処理装置
70 外部記憶装置
90 外部ネットワーク
110 データ抽出部
111 データ抽出部
120 集計部
121 集計部
130 送信元抽出部
131 送信元抽出部
140 記憶部
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記憶媒体
Claims (8)
- 送信元に関する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出するデータ抽出手段と、
前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計する集計手段と、
前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出する送信元抽出手段と
を含み、
前記通信データが、通常の通信と区別がつかず不正と判断されないデータであり、
前記第1のデータ抽出方針が、前記通信データにおけるヘッダーのデータであり、前記ヘッダーに含まれる前記送信元と通信時間とを含む数バイトから数十バイトのデータである前記第1の処理データを抽出する方針であり、
前記第1の集計方針が、少なくとも前記第1の処理データにおける前記送信元に関する前記第1の頻度と、初回時間と、最終時間とを含む方針であり、
前記第1の送信元抽出方針が、二日以上の期間と、前記第1の頻度の閾値とを含む方針である
情報処理装置。 - 前記データ抽出手段が、
前記通信データにおける前記ヘッダーのデータであり、プロトコル及びポートの少なくとも一方と前記送信元と前記通信時間とを含む数バイトから数十バイトのデータであり、前記送信元に関する第2の頻度を集計するための第2の処理データを抽出するための方針である第2のデータ方針に基づいて、前記送信元抽出手段が抽出した前記送信元を含む前記通信データにおける前記ヘッダーから前記第2の処理データを抽出し、
前記集計手段が、
前記第2の処理データにおける前記送信元に関する前記第2の頻度を集計するための方針である第2の集計方針に基づいて、前記第2の処理データにおける前記送信元に関する前記第2の頻度を集計し、
前記送信元抽出手段が、
前記送信元を抽出するための方針である第2の送信元抽出方針と前記第2の頻度とに基づいて前記送信元を抽出する
請求項1に記載の情報処理装置。 - 前記データ抽出手段が、
前記通信データにおける前記ヘッダーのデータであり、プロトコル及びポートの少なくとも一方と前記送信元と前記通信時間とを含む数バイトから数十バイトのデータであり、前記送信元に関する第2の頻度を集計するための第2の処理データを抽出するための方針である第2のデータ方針に基づいて、前記送信元抽出手段が抽出した前記送信元を含む前記通信データにおける前記ヘッダーから前記第2の処理データを抽出し、
前記送信元抽出手段が、
前記第2の処理データから前記送信元を抽出するための方針である第2の送信元抽出方針と前記第2の処理データとに基づいて、前記送信元を抽出する
請求項1に記載の情報処理装置。 - 前記第1のデータ抽出方針が、さらに、前記通信データにおける宛先を含み、
前記第1の集計方針が、前記第1の頻度として、前記送信元と前記宛先との組合せに関する頻度を含む
請求項1ないし3のいずれか1項に記載の情報処理装置。 - 前記第1のデータ抽出方針が、さらに、前記通信データにおける宛先を含み、
前記第2の送信元抽出方針が、
前記送信元に応答した前記宛先に対して複数の送信を実行する前記送信元を抽出する方針を含む
請求項2又は3に記載の情報処理装置。 - 請求項1ないし5のいずれか1項に記載の情報処理装置と、
前記第1のデータ抽出方針、前記第1の集計方針、及び前記第1の送信元抽出方針の少なくとも一つを前記情報処理装置に指示する指示装置と、
前記情報処理装置が抽出した前記送信元を受信して表示する表示装置と、
前記情報処理装置から受信した前記送信元に関する通信を阻止するファイアウォールと
を含む情報処理システム。 - 送信元に関する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出し、
前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計し、
前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出し、
前記通信データが、通常の通信と区別がつかず不正と判断されないデータであり、
前記第1のデータ抽出方針が、前記通信データにおけるヘッダーのデータであり、前記ヘッダーに含まれる前記送信元と通信時間とを含む数バイトから数十バイトのデータである前記第1の処理データを抽出する方針であり、
前記第1の集計方針が、少なくとも前記第1の処理データにおける前記送信元に関する前記第1の頻度と、初回時間と、最終時間とを含む方針であり、
前記第1の送信元抽出方針が、二日以上の期間と、前記第1の頻度の閾値とを含む方針である
情報処理方法。 - 送信元に関する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出処理と、
前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計する処理と、
前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出する処理と
をコンピュータに実行させ、
前記通信データが、通常の通信と区別がつかず不正と判断されないデータであり、
前記第1のデータ抽出方針が、前記通信データにおけるヘッダーのデータであり、前記ヘッダーに含まれる前記送信元と通信時間とを含む数バイトから数十バイトのデータである前記第1の処理データを抽出する方針であり、
前記第1の集計方針が、少なくとも前記第1の処理データにおける前記送信元に関する前記第1の頻度と、初回時間と、最終時間とを含む方針であり、
前記第1の送信元抽出方針が、二日以上の期間と、前記第1の頻度の閾値とを含む方針である
プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017238516 | 2017-12-13 | ||
JP2017238516 | 2017-12-13 | ||
PCT/JP2018/045202 WO2019117052A1 (ja) | 2017-12-13 | 2018-12-10 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019117052A1 JPWO2019117052A1 (ja) | 2020-11-19 |
JP7006704B2 true JP7006704B2 (ja) | 2022-01-24 |
Family
ID=66820261
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019559611A Active JP7006704B2 (ja) | 2017-12-13 | 2018-12-10 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11461463B2 (ja) |
EP (1) | EP3726817B1 (ja) |
JP (1) | JP7006704B2 (ja) |
WO (1) | WO2019117052A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015684A (ja) | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
WO2015141630A1 (ja) | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム |
JP2015198301A (ja) | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
WO2018225667A1 (ja) | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2351175C (en) | 1998-11-24 | 2016-05-03 | Niksun, Inc. | Apparatus and method for collecting and analyzing communications data |
JP2008085819A (ja) | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
JP2009171431A (ja) | 2008-01-18 | 2009-07-30 | Oki Electric Ind Co Ltd | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
JP4983671B2 (ja) | 2008-03-19 | 2012-07-25 | 沖電気工業株式会社 | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
US8776226B2 (en) | 2010-01-26 | 2014-07-08 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting SSH login attacks |
-
2018
- 2018-12-10 EP EP18888685.7A patent/EP3726817B1/en active Active
- 2018-12-10 US US16/765,711 patent/US11461463B2/en active Active
- 2018-12-10 JP JP2019559611A patent/JP7006704B2/ja active Active
- 2018-12-10 WO PCT/JP2018/045202 patent/WO2019117052A1/ja unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015684A (ja) | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
WO2015141630A1 (ja) | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム |
JP2015198301A (ja) | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
WO2018225667A1 (ja) | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
Non-Patent Citations (1)
Title |
---|
鮫島 礼佳、他4名,長期間の観測データを用いたサイバー攻撃と推定される通信を分析する手法の提案,2018年 暗号と情報セキュリティシンポジウム(SCIS2018)予稿集,一般社団法人電子情報通信学会,2018年01月26日,pp.1-7 |
Also Published As
Publication number | Publication date |
---|---|
US11461463B2 (en) | 2022-10-04 |
EP3726817B1 (en) | 2024-02-07 |
US20200302055A1 (en) | 2020-09-24 |
EP3726817A4 (en) | 2020-10-28 |
WO2019117052A1 (ja) | 2019-06-20 |
EP3726817A1 (en) | 2020-10-21 |
JPWO2019117052A1 (ja) | 2020-11-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10530796B2 (en) | Graph database analysis for network anomaly detection systems | |
US10063574B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using N-gram distribution of data | |
CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
TWI627553B (zh) | 於專用電腦網路上對進階持續性威脅攻擊之偵測 | |
CN107465648B (zh) | 异常设备的识别方法及装置 | |
US9817969B2 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
US20130298254A1 (en) | Methods and systems for detecting suspected data leakage using traffic samples | |
US20090013407A1 (en) | Intrusion detection system/intrusion prevention system with enhanced performance | |
US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
US9992209B1 (en) | System and method for characterizing security entities in a computing environment | |
US20230412591A1 (en) | Traffic processing method and protection system | |
JP2017117224A (ja) | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム | |
US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
JP7006704B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
JP7031667B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP5926413B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
CN112953957A (zh) | 一种入侵防御方法、系统及相关设备 | |
JP6145588B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5992643B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
US10362062B1 (en) | System and method for evaluating security entities in a computing environment | |
JP6088700B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
CN117914550A (zh) | 网络攻击处理方法和装置、计算机设备及存储介质 | |
KR20180042608A (ko) | 네트워크 악성행위 분석 장치 및 방법 | |
TW201909592A (zh) | 駭客反向連線行為偵測方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200519 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200519 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210615 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210721 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211022 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211220 |