JP7036193B2 - ヒアリングシステム、脅威対応システム、方法およびプログラム - Google Patents
ヒアリングシステム、脅威対応システム、方法およびプログラム Download PDFInfo
- Publication number
- JP7036193B2 JP7036193B2 JP2020507299A JP2020507299A JP7036193B2 JP 7036193 B2 JP7036193 B2 JP 7036193B2 JP 2020507299 A JP2020507299 A JP 2020507299A JP 2020507299 A JP2020507299 A JP 2020507299A JP 7036193 B2 JP7036193 B2 JP 7036193B2
- Authority
- JP
- Japan
- Prior art keywords
- threat
- response
- user
- question
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Description
図1は、本発明による脅威対応システムの第1の実施形態の構成例を示すブロック図である。本実施形態の脅威対応システム1は、検知機10と、監視ログ記憶手段20と、ヒアリングシステム100とを備えている。検知機10およびヒアリングシステム100は、検知対象とするユーザ端末30と通信可能に接続される。
次に、本発明による脅威対応システムの第2の実施形態を説明する。本実施形態では、検知機10によって脅威事象が検知された場合、ユーザに対して質問を行う前に、脅威事象が示す脅威を回避する対応を実行する方法を説明する。なお、質問を行う前に実行する対応を、第二の対応と記すこともある。
10 検知機
20 監視ログ記憶手段
30 ユーザ端末
100,200 ヒアリングシステム
110 ユーザ情報記憶手段
120 通知先特定手段
130 質問生成手段
140 質問送受信手段
150 攻撃特定手段
160,260 対応実行手段
170 対応履歴記憶手段
Claims (11)
- ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、
検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、
特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信手段と、
脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定手段と、
特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段と、
脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段とを備え、
前記質問送受信手段は、前記第二の対応を実行した後に質問を送信する
ことを特徴とするヒアリングシステム。 - 攻撃特定手段は、ユーザの回答に基づいて、攻撃モデルにおける段階および脅威の種類を特定し、
第一対応実行手段は、特定された段階および脅威の種類に応じて、第一の対応を実行する
請求項1記載のヒアリングシステム。 - 第二対応実行手段は、第二の対応として、ユーザ端末を当該ユーザ端末が接続しているネットワークである通常ネットワークから遮断する対応、または、ユーザ端末を検疫ネットワークに隔離する対応を実行する
請求項1または請求項2記載のヒアリングシステム。 - 第一対応実行手段は、質問の回答に基づいて、通常ネットワークからの遮断の解除もしくは通常ネットワークへの復旧、または、遮断の継続もしくは隔離の継続のいずれかの対応を実行する
請求項3記載のヒアリングシステム。 - 質問生成手段は、脅威事象に応じて特定される、脅威の種類と段階とに応じた質問を規定した質問テーブルから質問を生成し、
攻撃特定手段は、前記質問に対するユーザの回答から、前記質問テーブルを参照して、段階を特定する
請求項1から請求項4のうちのいずれか1項に記載のヒアリングシステム。 - 質問送受信手段は、受信したユーザからの回答の適否を示す質問を当該ユーザとは異なる他のユーザに送信し、当該他のユーザからの回答を受信し、
第一対応実行手段は、受信した前記他のユーザからの回答に基づいて、第一の対応を実行する
請求項1から請求項5のうちのいずれか1項に記載のヒアリングシステム。 - 攻撃特定手段は、各質問に対するユーザの回答に基づいて、特定した段階の尤もらしさを評価し、
第一対応実行手段は、評価された尤もらしさに応じて実行する第一の対応を決定する
請求項1から請求項6のうちのいずれか1項に記載のヒアリングシステム。 - ユーザごとの脅威対応履歴を記憶する対応履歴記憶手段を備え、
第一対応実行手段は、前記脅威対応履歴に基づいてユーザの信頼性を評価し、評価された信頼性に応じて第一の対応を決定する
請求項1から請求項7のうちのいずれか1項に記載のヒアリングシステム。 - ユーザ端末に生じた脅威事象を検知する脅威事象検知手段と、
前記ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、前記脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、
検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、
特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信手段と、
脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定手段と、
特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段と、
脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段とを備え、
前記質問送受信手段は、前記第二の対応を実行した後に質問を送信する
ことを特徴とする脅威対応システム。 - ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定し、
検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成し、
特定されたユーザの通知先に生成された質問を送信し、
前記質問に対するユーザの回答を受信し、
脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定し、
特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行し、
脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行し、
前記第二の対応を実行した後に質問を送信する
ことを特徴とする脅威対応方法。 - コンピュータに、
ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定処理、
検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成処理、
特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信処理、
脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定処理、
特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行処理、および、
脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行処理を実行させ、
前記質問送受信処理で、前記第二の対応を実行した後に質問を送信させる
ための脅威対応プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018052077 | 2018-03-20 | ||
JP2018052077 | 2018-03-20 | ||
PCT/JP2018/031514 WO2019180989A1 (ja) | 2018-03-20 | 2018-08-27 | ヒアリングシステム、脅威対応システム、方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019180989A1 JPWO2019180989A1 (ja) | 2021-02-18 |
JP7036193B2 true JP7036193B2 (ja) | 2022-03-15 |
Family
ID=67986821
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020507299A Active JP7036193B2 (ja) | 2018-03-20 | 2018-08-27 | ヒアリングシステム、脅威対応システム、方法およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20210064750A1 (ja) |
JP (1) | JP7036193B2 (ja) |
WO (1) | WO2019180989A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11902306B1 (en) * | 2020-04-30 | 2024-02-13 | Splunk Inc. | Advanced persistent threat detection by an information technology and security operations application |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002328894A (ja) | 2001-05-01 | 2002-11-15 | Ntt Data Corp | マニュアルの自動生成および動作確認システムならびにその方法 |
JP2003085139A (ja) | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | 侵入検知管理システム |
JP2004086301A (ja) | 2002-08-23 | 2004-03-18 | Nec Fielding Ltd | ユーザ端末トラブル通知・遠隔操作システム,方法,プログラムおよびサービス提供サーバ |
JP2005044277A (ja) | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
JP2008167099A (ja) | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9882929B1 (en) * | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
US20170223030A1 (en) * | 2016-01-29 | 2017-08-03 | Splunk Inc. | Detection of security transactions |
US10372910B2 (en) * | 2016-06-20 | 2019-08-06 | Jask Labs Inc. | Method for predicting and characterizing cyber attacks |
US20170366571A1 (en) * | 2016-06-21 | 2017-12-21 | Ntt Innovation Institute, Inc. | Asset protection apparatus, system and method |
US10262132B2 (en) * | 2016-07-01 | 2019-04-16 | Entit Software Llc | Model-based computer attack analytics orchestration |
-
2018
- 2018-08-27 JP JP2020507299A patent/JP7036193B2/ja active Active
- 2018-08-27 US US16/981,046 patent/US20210064750A1/en active Pending
- 2018-08-27 WO PCT/JP2018/031514 patent/WO2019180989A1/ja active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002328894A (ja) | 2001-05-01 | 2002-11-15 | Ntt Data Corp | マニュアルの自動生成および動作確認システムならびにその方法 |
JP2003085139A (ja) | 2001-09-10 | 2003-03-20 | Mitsubishi Electric Corp | 侵入検知管理システム |
JP2004086301A (ja) | 2002-08-23 | 2004-03-18 | Nec Fielding Ltd | ユーザ端末トラブル通知・遠隔操作システム,方法,プログラムおよびサービス提供サーバ |
JP2005044277A (ja) | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
JP2008167099A (ja) | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | セキュリティ管理装置及びセキュリティ管理方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20210064750A1 (en) | 2021-03-04 |
JPWO2019180989A1 (ja) | 2021-02-18 |
WO2019180989A1 (ja) | 2019-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
US10467411B1 (en) | System and method for generating a malware identifier | |
US10893059B1 (en) | Verification and enhancement using detection systems located at the network periphery and endpoint devices | |
US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
US10225280B2 (en) | System and method for verifying and detecting malware | |
US8650647B1 (en) | Web site computer security using client hygiene scores | |
US11381578B1 (en) | Network-based binary file extraction and analysis for malware detection | |
US20190014141A1 (en) | Locally Detecting Phishing Weakness | |
US8805995B1 (en) | Capturing data relating to a threat | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
US8832835B1 (en) | Detecting and remediating malware dropped by files | |
US8595282B2 (en) | Simplified communication of a reputation score for an entity | |
WO2015127472A2 (en) | Systems and methods for malware detection and mitigation | |
WO2013063474A1 (en) | Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware | |
JPWO2014112185A1 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
EP3374870B1 (en) | Threat risk scoring of security threats | |
EP2835948A1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
JP7036193B2 (ja) | ヒアリングシステム、脅威対応システム、方法およびプログラム | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
Kono et al. | An unknown malware detection using execution registry access | |
CN110784471A (zh) | 黑名单采集管理方法、装置、计算机设备及存储介质 | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
JP2019101448A (ja) | セキュリティ管理システム及びセキュリティ管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200907 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220201 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220214 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7036193 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |