JP7081695B2 - 優先度判定装置、優先度判定方法、及び制御プログラム - Google Patents

優先度判定装置、優先度判定方法、及び制御プログラム Download PDF

Info

Publication number
JP7081695B2
JP7081695B2 JP2020570249A JP2020570249A JP7081695B2 JP 7081695 B2 JP7081695 B2 JP 7081695B2 JP 2020570249 A JP2020570249 A JP 2020570249A JP 2020570249 A JP2020570249 A JP 2020570249A JP 7081695 B2 JP7081695 B2 JP 7081695B2
Authority
JP
Japan
Prior art keywords
priority
alert
traffic flow
transmission record
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020570249A
Other languages
English (en)
Other versions
JPWO2020161808A1 (ja
Inventor
将平 蛭田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020161808A1 publication Critical patent/JPWO2020161808A1/ja
Application granted granted Critical
Publication of JP7081695B2 publication Critical patent/JP7081695B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、優先度判定装置、優先度判定方法、及びコンピュータ可読媒体に関する。
企業等を含む多く組織は、サイバー攻撃から組織の重要情報を守るために、SOC(Security Operation Center)を組織し、又は、外部のSOCサービスを利用している。SOCとは、情報セキュリティ機器及びサーバなどが生成するログを分析し、サイバー攻撃の検出及び通知を行う組織である。
SOCで使用されている情報セキュリティ機器の一つに、ネットワーク型侵入検知装置がある。ネットワーク型侵入検知装置は、ネットワーク上に存在する機器への攻撃を検知し、SOC分析官にセキュリティアラートを通知する装置である。SOC分析官は、セキュリティアラートに基づいて、攻撃を受けた機器をネットワークから切断するといった対策を講じている。
一方で、近年のネットワークには、多種多様な機器が接続されている。このため、サイバー攻撃も多種多様化しており、ネットワーク型侵入検知装置が通知するセキュリティアラートの種類及び数が増加している。このため、優先度が高いセキュリティアラートを優先して通知する仕組みが求められている。
関連する技術として、不正アクセスの重要性(優先度)を判定する装置が提案されている(例えば、特許文献1)。特許文献1に開示されている装置は、予め複数のイベントが定義されており、ログ情報及びトラフィック情報に含まれるイベントの数に応じてスコアリングを行い、スコアがある閾値を超えた場合、不正アクセスであると判定し、スコアに応じて、不正アクセスの重要性を判定する。
国際公開第2014/119669号
しかしながら、特許文献1に開示された技術では、予めイベントを定義する必要があるため利便性に欠け、予めイベントを定義できていないと不正アクセスの重要度(優先度)の判定精度が劣化する可能性がある。
本開示の目的は、セキュリティアラートの優先度の判定精度を向上させることができる、優先度判定装置、優先度判定方法、及びコンピュータ可読媒体を提供することにある。
第1の態様にかかる優先度判定装置は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績との非類似指標を算出する非類似指標算出部と、前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定部と、を具備する。
第2の態様にかかる優先度判定方法は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績との非類似指標を算出し、前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定する。
第3の態様にかかるコンピュータ可読媒体は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績特性との非類似指標を算出し、前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定する、処理を、優先度判定装置に実行させる制御プログラムを記録する。
本開示により、セキュリティアラートの優先度の判定精度を向上させることができる、優先度判定装置、優先度判定方法、及び記録媒体を提供することができる。
第1実施形態における優先度判定装置の一例を示すブロック図である。 第2実施形態のシステムの一例を示す図である。 フロー情報管理テーブルの一例を示す図である。 第2実施形態における優先度判定装置の一例を示すブロック図である。 脅威フローセット情報管理テーブルの一例を示す図である。 脅威フローセット情報の伝送実績の散布図の一例を示す図である。 図6の脅威フローセット情報の伝送実績から求めたカーネル密度推定量を示す図である。 分布相違指標の説明に供する、確率密度を示す図である。 分布相違指標の説明に供する、確率密度を示す図である。 分布相違指標の説明に供する、確率密度を示す図である。 分布相違指標の説明に供する、確率密度を示す図である。 第2実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。 第2実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。 第3実施形態における優先度判定装置の一例を示すブロック図である。 第3実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。 第4実施形態における優先度判定装置の一例を示すブロック図である。 脅威フロー情報管理テーブルの一例を示す図である。 第4実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。 第4実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。 第5実施形態における優先度判定装置の一例を示すブロック図である。 脅威フローセット情報管理テーブルの一例を示す図である。 第5実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。 第5実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。 第6実施形態の優先度判定装置の一例を示すブロック図である。 第6実施形態の表示制御の説明に供する図である。 第6実施形態の表示制御の説明に供する図である。 第6実施形態の表示制御の説明に供する図である。 優先度判定装置のハードウェア構成例を示す図である。
以下、図面を参照しつつ、実施形態について説明する。なお、実施形態において、同一又は同等の要素には、同一の符号を付し、重複する説明は省略される。
<第1実施形態>
図1は、第1実施形態における優先度判定装置の一例を示すブロック図である。図1において優先度判定装置10は、非類似指標算出部11と、優先度判定部12とを有している。
非類似指標算出部11は、ネットワーク型進入検知装置(不図示)から第1タイミングで通知されたセキュリティアラートに関連するトラヒックフローの「伝送実績」を取得する。「伝送実績」は、例えば、送信実績及び受信実績を含む。「送信実績」は、例えば、送信パケット数又は送信データ量を含む。「受信実績」は、例えば、受信パケット数又受信データ量を含む。以下では、第1タイミングで通知されたセキュリティアラートを、「判定対象アラート」、「第1セキュリティアラート」と呼ぶことがある。また、以下では、第1タイミングで通知されたセキュリティアラートに関連するトラヒックフローを、「第1トラヒックフロー」と呼ぶことがある。
また、非類似指標算出部11は、ネットワーク型侵入検知装置(不図示)から第1タイミングより前(つまり、過去)に通知されたセキュリティアラートに関連するトラヒックフローの「伝送実績」を取得する。以下では、第1タイミングより前(つまり、過去)に通知されたセキュリティアラートを、「過去アラート」、「第2セキュリティアラート」と呼ぶことがある。また、第1タイミングより前(つまり、過去)に通知されたセキュリティアラートに関連するトラヒックフローを、「第2トラヒックフロー」と呼ぶことがある。
そして、非類似指標算出部11は、上記の第1トラヒックフローの伝送実績と、上記の第2トラヒックフローの伝送実績との「非類似指標」を算出する。
優先度判定部12は、非類似指標算出部11によって算出された非類似指標に基づいて、第1セキュリティアラートの優先度を判定する。そして、優先度判定部12は、非類似指標算出部11にて算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも該非類似指標が示す非類似レベルが所定レベルより高い場合に、第1セキュリティアラートに対してより高い優先度を割り当てる。
ここで、「上記の非類似指標が示す非類似レベルが所定レベルより高い」ことは、例えば第1セキュリティアラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と異なっており優先度(重要度)が高いことを意味している。すなわち、上記の「非類似指標」は、セキュリティアラートの優先度についての判定指標として用いることができる。
以上のように第1実施形態によれば、優先度判定装置10において非類似指標算出部11は、上記の第1トラヒックフローの伝送実績と、上記の第2トラヒックフローの伝送実績との「非類似指標」を算出する。優先度判定部12は、非類似指標算出部11によって算出された非類似指標に基づいて、上記の第1セキュリティアラートの優先度を判定する。
この優先度判定装置10の構成により、事前にイベントを定義することなく、セキュリティアラートに関連するトラヒックフローの伝送実績を用いてセキュリティアラートの優先度を判定することができる。これにより、利便性、及び、セキュリティアラートの優先度の判定精度を向上させることができる。
<第2実施形態>
第2実施形態は、「非類似指標」として、トラヒックフローの伝送実績についての分布の相違度(つまり、「分布相違度」)を用いる実施形態に関する。
<システムの概要>
図2は、第2実施形態のシステムの一例を示す図である。図2においてシステム1は、ネットワーク型進入検知装置20と、トラヒック監視装置30と、優先度判定装置40とを有している。
ネットワーク型進入検知装置20は、インターネットとイントラネットとの境界を流れるトラヒックフローを監視して、イントラネット内の機器への攻撃を検知する。そして、該攻撃が検知された場合、ネットワーク型進入検知装置20は、「アラート種別情報」及びアラート対象フローの「フロー特定情報」を含むセキュリティアラートを優先度判定装置40へ送出する。「アラート種別情報」は、例えば、検知された攻撃に対応する「脅威名」である。また、「フロー特定情報」は、例えば、アラート対象フローの「送信元情報」、「送信先情報」、及び「時刻」である。なお、以下では、セキュリティアラートに含まれるアラート種別情報及びフロー特定情報をまとめて「アラート情報」と呼ぶことがある。
トラヒック監視装置30は、インターネットとイントラネットとの境界を流れるトラヒックフローを監視して、各トラヒックフローの「フロー情報」を記憶する。「フロー情報」は、例えば、「フロー特定情報」及び「伝送実績」を含む。トラヒック監視装置30は、各エントリにトラヒックフローのフロー情報を保持する「フロー情報管理テーブル」の形式で、フロー情報を記憶してもよい。
図3は、フロー情報管理テーブルの一例を示す図である。図3に示すフロー情報管理テーブルは、各エントリにフロー情報を保持している。各フロー情報は、フロー特定情報及び伝送実績(つまり、送信実績情報及び受信実績情報)を含んでいる。
<優先度判定装置の構成例>
図4は、第2実施形態における優先度判定装置の一例を示すブロック図である。図4において優先度判定装置40は、抽出部41と、取得部42と、非類似指標算出部43と、優先度判定部44と、記憶部(記憶装置)45とを有している。なお、ここでは、記憶部45が優先度判定装置40に含まれているものとして説明を行うが、これに限定されるものではなく、記憶部45は、優先度判定装置40と接続され且つ優先度判定装置40とは別体の装置であってもよい。
抽出部41は、ネットワーク型進入検知装置20から送出されたセキュリティアラートから「アラート情報」を抽出する。上記の通り、「アラート情報」は、アラート種別情報及びフロー特定情報を含む。
取得部42は、抽出部41にて抽出されたアラート情報のフロー特定情報と同じフロー特定情報を含むフロー情報を、トラヒック監視装置30のフロー情報管理テーブルから取得する。なお、以下では、抽出部41にて抽出されたアラート情報のアラート種別情報とフロー情報管理テーブルから取得されたフロー情報とを合わせて、「脅威フロー情報」と呼ぶことがある。
また、取得部42は、脅威フロー情報の時刻を基準とする所定期間内の時刻を含み且つ脅威フロー情報の送信元情報及び送信先情報と同じ送信元情報及び送信先情報を含むフロー情報をすべて取得する。なお、第1の送信元情報の送信元ポート番号と第2の送信元情報の送信元ポート番号とが異なる場合でも送信元ポート番号以外の情報が同じである場合には、第1の送信元情報と第2の送信元情報とは同じであると扱ってもよい。ここで取得されたすべてのフロー情報をまとめて、以下では「脅威フローセット情報」と呼ことがある。また、「脅威フロー情報の時刻を基準とする所定期間」は、例えば、該時刻から1時間後までの期間であってもよいし、該時刻の30分前から30分後であってもよい。すなわち、「脅威フローセット情報」は、判定対象アラートに対応するトラヒックフローに関連するトラヒックフロー群のフロー情報である。このため、脅威フロー情報及び脅威フローセット情報は、イントラネット内の機器への一連の攻撃に対応する可能性が高い。
また、取得部42は、抽出部41にて抽出されたアラート情報のアラート種別情報(つまり、脅威名)とアラート種別情報が同じである「過去脅威フローセット情報」を、記憶部45の「脅威フローセット情報管理テーブル」から取得する。「脅威フローセット情報管理テーブル」は、取得部42によって過去に取得された「脅威フローセット情報」を保持するテーブルである。
図5は、脅威フローセット情報管理テーブルの一例を示す図である。図5に示す脅威フローセット情報管理テーブルは、過去脅威フローセット情報を保持している。また、脅威フローセット情報管理テーブルでは、脅威名が同じである複数の過去脅威フローセット情報を、非類似指標に基づいてグループ分けしている。すなわち、図5の脅威フローセット情報管理テーブルにおける、送信元情報:A、送信先情報Xの過去脅威フローセット情報と送信元情報:A、送信先情報Yの過去脅威フローセット情報とは、類似していると過去に判定されていることになる。一方で、図5の脅威フローセット情報管理テーブルにおける、送信元情報:A、送信先情報Zの過去脅威フローセット情報は、送信元情報:A、送信先情報Xの過去脅威フローセット情報及び送信元情報:A、送信先情報Yの過去脅威フローセット情報のいずれとも類似していないと過去に判定されていることになる。
非類似指標算出部43は、脅威フローセット情報の伝送実績の分布(以下では、「第1分布」と呼ぶことがある)を算出する。また、非類似指標算出部43は、過去脅威フローセット情報の伝送実績の分布を上記グループ単位で算出する。このグループ単位で算出された分布を、以下では「第2分布」と呼ぶことがある。そして、非類似指標算出部43は、第1分布と各グループの第2分布との分布相違度(つまり、分布相違指標)を、「非類似指標」として算出する。
例えば、分布を表現する手法には、例えば、カーネル密度推定手法がある。カーネル密度推定手法は、式(1)を用いて、分布を確率密度で表現する。
Figure 0007081695000001
また、例えば、分布相違度としては、カルバック・ライブラー情報量を用いることができる。カルバック・ライブラー情報量は、2つの確率分布を入力として与え、2つの確率分布の差異を計る尺度である。カルバック・ライブラー情報量が大きい値であるほど、2つの分布の差異は大きい。例えば、式(2)を用いて、カルバック・ライブラー情報量を算出することができる。
Figure 0007081695000002
すなわち、式(2)のp及びqは、式(1)で求めた、脅威フローセット情報の伝送実績の確率密度(つまり、第1確率密度)、及び、グループ単位の過去脅威フローセット情報の伝送実績の確率密度(つまり、第2確率密度)である。
図6は、脅威フローセット情報の伝送実績の散布図の一例を示す図である。図7は、図6の脅威フローセット情報の伝送実績から求めたカーネル密度推定量を示す図である。非類似指標算出部43は、図6の脅威フローセット情報の送信実績情報及び受信実績情報からなる2次元データをデータXとして式(1)に入力することにより、カーネル密度推定量を算出する。なお、式(1)への入力データは、3次元以上のデータであってもよい。例えば、式(1)への入力データは、脅威フローセット情報の送信実績情報、受信実績情報、及び通信時間の3次元データであってもよい。また、式(1)におけるカーネル関数K(x)は、例えば、ガウス関数又はコサイン関数であってもよい。また、バンド幅hは、例えば、実験又はシミュレーションによって求められてもよい。
図8乃至図11は、分布相違指標の説明に供する、確率密度を示す図である。図8に示す確率密度及び図9に示す確率密度と式(2)とを用いた場合、分布相違指標の値として、0.215が得られた。また、図10に示す確率密度及び図11に示す確率密度と式(2)とを用いた場合、分布相違指標の値として、6.652が得られた。すなわち、類似していない2つの分布についての分布相違指標は、類似している2つの分布についての分布相違指標よりも大きくなることがわかる。
図4の説明に戻り、優先度判定部44は、非類似指標算出部43にて算出された分布相違度と「第1閾値」との大小に基づいて、判定対象アラート(つまり、第1セキュリティアラート)の優先度を判定する。
例えば、優先度判定部44は、分布相違度の最小値と、該最小値に対応する上記グループ(以下では、「最小値グループ」と呼ぶことがある)の番号とを特定する。そして、優先度判定部44は、特定した最小値と「第1閾値」とを比較し、該最小値が第1閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。これは、判定対象アラートに関連する脅威フローセット情報の伝送実績の分布が、いずれの過去脅威フローセット情報の伝送実績の分布にも類似していないため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と異なっていると推測されるためである。そして、優先度判定部44は、判定対象アラートに対して「第1優先度(つまり、高優先度)」を割り当てる。
そして、優先度判定部44は、取得部42で取得された脅威フローセット情報と、脅威フローセット情報管理テーブルにおいて判定対象アラートの脅威名に属するグループの最大グループ番号に1を加えた新グループ番号とを対応づけて、記憶部45の脅威フローセット情報管理テーブルに記憶させる。
一方、特定した最小値が第1閾値以下である場合、優先度判定部44は、判定対象アラートの優先度が低いと判定する。これは、判定対象アラートに関連する脅威フローセット情報の伝送実績の分布が、過去脅威フローセット情報の伝送実績の分布に類似しているため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と同じであると推測されるためである。そして、優先度判定部44は、判定対象アラートに対して「第3優先度(つまり、低優先度)」を割り当てる。
そして、優先度判定部44は、取得部42で取得された脅威フローセット情報と、上記特定された最小値グループの番号とを対応づけて、記憶部45の脅威フローセット情報管理テーブルに記憶させる。
記憶部(記憶装置)45は、上記のフロー情報管理テーブル及び脅威フローセット情報管理テーブルを記憶する。
<優先度判定装置の動作例>
以上の構成を有する優先度判定装置40の処理動作の一例について説明する。図12及び図13は、第2実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図12の処理フローは、優先度判定装置40がセキュリティアラート(判定対象アラート、第1セキュリティアラート)を受け取ったときにスタートする。
抽出部41は、判定対象アラートから、アラート情報を抽出する(ステップS101)。
取得部42は、脅威フロー情報を取得する(ステップS102)。例えば、取得部42は、抽出部41にて抽出されたアラート情報のフロー特定情報と同じフロー特定情報を含むフロー情報を、トラヒック監視装置30のフロー情報管理テーブルから取得する。そして、取得部42は、抽出部41にて抽出されたアラート情報のアラート種別情報を取得し、該アラート種別情報と上記取得したフロー特定情報と合わせて、脅威フロー情報を取得する。
取得部42は、脅威フローセット情報を取得する(ステップS103)。例えば、取得部42は、脅威フロー情報の時刻を基準とする所定期間内の時刻を含み且つ脅威フロー情報の送信元情報及び送信先情報と同じ送信元情報及び送信先情報を含むフロー情報をすべて取得する。
取得部42は、過去脅威フローセット情報を取得する(ステップS104)。例えば、取得部42は、抽出部41にて抽出されたアラート情報のアラート種別情報(つまり、脅威名)とアラート種別情報が同じである過去脅威フローセット情報を、記憶部45の脅威フローセット情報管理テーブルから取得する。
非類似指標算出部43は、脅威フローセット情報及び過去脅威フローセット情報を用いて、非類似指標を算出する(ステップS105)。例えば、脅威フローセット情報の伝送実績の第1分布を算出する。また、非類似指標算出部43は、過去脅威フローセット情報の伝送実績の第2分布を算出する。上記の通り、第2分布は、上記のグループ単位で算出された、過去脅威フローセット情報の伝送実績の分布である。そして、非類似指標算出部43は、第1分布と各グループの第2分布との分布相違度(つまり、分布相違指標)を、非類似指標として算出する。
優先度判定部44は、判定対象アラートの優先度を判定する(ステップS106)。図13は、優先度判定処理の一例を示すフローチャートである。
優先度判定部44は、ステップS105にて算出された分布相違度の最小値を特定し、該最小値が第1閾値よりも大きいか否かを判定する(ステップS201)。
上記の最小値が第1閾値よりも大きい場合(ステップS201YES)、優先度判定部44は、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第1優先度(つまり、高優先度)を割り当てる(ステップS202)。
上記の最小値が第1閾値以下である場合(ステップS201NO)、優先度判定部44は、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第3優先度(つまり、低優先度)を割り当てる(ステップS203)。
以上のように第2実施形態によれば、優先度判定装置40にて非類似指標算出部43は、脅威フローセット情報の伝送実績の第1分布及び過去脅威フローセット情報の伝送実績の第2分布を算出し、該第1分布と該第2分布との分布相違度を、非類似指標として算出する。
この優先度判定装置40の構成により、サイバー攻撃の傾向の類似非類似が現れる、伝送実績の分布の分布相違度を、非類似指標として算出することができる。そして、この非類似指標に基づいて判定対象アラートの優先度を判定できるので、判定精度を向上させることができる。
<第3実施形態>
第3実施形態は、第2実施形態と比べて、さらに「外れ値」の有無に基づいて判定対象アラートの優先度を判定する実施形態に関する。なお、第3実施形態におけるシステムの基本構成は、第2実施形態のシステム1と同じなので、図2を参照して説明する。すなわち、第3実施形態のシステム1は、図2の優先度判定装置40の代わりに、第3実施形態の優先度判定装置50を含んでいる。
<優先度判定装置の構成例>
図14は、第3実施形態における優先度判定装置の一例を示すブロック図である。図14において優先度判定装置50は、抽出部41、取得部42、非類似指標算出部43、及び記憶部45の他に、優先度判定部51を有している。優先度判定部51は、判定処理部51Aと、外れ値検出部51Bとを有している。
判定処理部51Aは、第2実施形態の優先度判定部44と同様に、非類似指標算出部43にて算出された分布相違度に基づいて、判定対象アラートの優先度を判定する。
さらに、判定処理部51Aは、外れ値検出部51Bにて外れ値が検出されたか否かに基づいて、判定対象アラートの優先度を判定する。例えば、判定処理部51Aは、外れ値検出部51Bにて外れ値が検出された場合、判定対象アラートの優先度が高いと判定して、判定対象アラートに対して「第2優先度」を割り当てる。外れ値検出部51Bにて外れ値が検出されない場合、判定処理部51Aは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第3優先度を割り当てる。ここで、「第2優先度」は、例えば、第2実施形態で説明した「第1優先度」よりも優先度が低く、「第3優先度」よりも優先度が高い。
外れ値検出部51Bは、判定処理部51Aにて第2実施形態で説明したように特定した最小値が第1閾値以下である場合に、外れ値の検出処理を実行する。例えば、外れ値検出部51Bは、脅威フローセット情報管理テーブルにて上記の最小値グループの番号と対応づけられている過去脅威フローセット情報(判定対象アラートに関連する脅威フローセット情報を含む)をクラスタリングして、クラスタを形成する。そして、外れ値検出部51Bは、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。なお、クラスタリングの手法は、特に限定されるものではなく、例えば、DBSCAN、又は、x-meansであってもよい。
<優先度判定装置の動作例>
以上の構成を有する第3実施形態における優先度判定装置の処理動作の一例について説明する。第3実施形態における優先度判定装置50の基本動作は、図12に示した優先度判定装置40と同じである。ただし、第3実施形態と第2実施形態とでは、図12のステップS106における優先度判定処理動作が異なっている。
図15は、第3実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図15は、特に、図12のステップS106に対応する優先度判定処理動作が示されている。
図15におけるステップS301及びステップS302は、図13におけるステップS201及びステップS202と同じである。
特定された分布相違度の最小値が第1閾値以下である場合(ステップS301NO)、外れ値検出部51Bは、脅威フローセット情報管理テーブルにて最小値グループの番号と対応づけられている過去脅威フローセット情報に対してクラスタリングを実行する(ステップS303)。そして、外れ値検出部51Bは、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。
判定処理部51Aは、外れ値検出部51Bにて外れ値が検出されたか否かを判定する(ステップS304)。
外れ値検出部51Bにて外れ値が検出された場合(ステップS304YES)、判定処理部51Aは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第2優先度を割り当てる(ステップS305)。上記の通り、例えば、「第2優先度」は、「第1優先度」よりも優先度が低く、「第3優先度」よりも優先度が高い。
外れ値検出部51Bにて外れ値が検出されない場合(ステップS304NO)、判定処理部51Aは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第3優先度を割り当てる(ステップS306)。
以上のように第3実施形態によれば、優先度判定装置50にて優先度判定部51は、脅威フローセット情報管理テーブルにて最小値グループの番号と対応づけられている過去脅威フローセット情報に対してクラスタリングを実行する。そして、優先度判定部51は、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。そして、優先度判定部51は、外れ値が検出されたか否かに基づいて、判定対象アラートの優先度を判定する。
この優先度判定装置50の構成により、分布相違度に加えて、外れ値の有無に基づいて判定対象アラートの優先度を判定することができるので、優先度をより精緻に判定することができる。
<第4実施形態>
第4実施形態は、「非類似指標」として、トラヒックフローの伝送実績の距離を用いる実施形態に関する。なお、第4実施形態におけるシステムの基本構成は、第2実施形態のシステム1と同じなので、図2を参照して説明する。すなわち、第4実施形態のシステム1は、図2の優先度判定装置40の代わりに、第4実施形態の優先度判定装置60を含んでいる。
<優先度判定装置の構成例>
図16は、第4実施形態における優先度判定装置の一例を示すブロック図である。図16において優先度判定装置60は、取得部61と、非類似指標算出部62と、優先度判定部63と、記憶部64とを有する。
取得部61は、第2実施形態の取得部42と同様に、「脅威フロー情報」を取得する。
また、取得部61は、抽出部41にて抽出されたアラート情報のアラート種別情報(つまり、脅威名)とアラート種別情報が同じである「過去脅威フロー情報」を、記憶部64の「脅威フロー情報管理テーブル」から取得する。「脅威フロー情報管理テーブル」は、取得部61によって過去に取得された「脅威フロー情報」を保持するテーブルである。
図17は、脅威フロー情報管理テーブルの一例を示す図である。図17に示す脅威フロー情報管理テーブルは、過去脅威フロー情報を保持している。また、脅威フロー情報管理テーブルでは、脅威名が同じである複数の過去脅威フロー情報を、非類似指標に基づいてクラス分けしている。すなわち、図17の項目「脅威名」が「Threat A」のクラス番号1のクラスに属する過去脅威フロー情報は、同クラスの他の過去脅威フロー情報と類似していると過去に判定されていることになる。一方で、図17の項目「脅威名」が「Threat A」のクラス番号2のクラスに属する過去脅威フロー情報は、クラス番号1のクラスに属する過去脅威フロー情報と類似していないと過去に判定されていることになる。
非類似指標算出部62は、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標を算出する。例えば、非類似指標算出部62は、脅威フロー情報の伝送実績と、脅威フロー情報の脅威名と同じ脅威名の各過去脅威フロー情報の伝送実績との距離を算出する。例えば、伝送実績は、送信実績及び受信実績を含むので、伝送実績を送信実績及び受信実績の座標平面にプロットできる。そして、非類似指標算出部62は、脅威フロー情報の伝送実績に対応する座標と過去脅威フロー情報の伝送実績に対応する座標との距離を算出する。
優先度判定部63は、非類似指標算出部62にて算出された距離と「第2閾値」との大小に基づいて、判定対象アラートの優先度を判定する。
例えば、優先度判定部63は、距離の最小値と、該最小値に対応する上記クラス(以下では、「最小値クラス」と呼ぶことがある)の番号とを特定する。そして、優先度判定部63は、特定した最小値と「第2閾値」とを比較し、該最小値が第2閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。これは、判定対象アラートに関連する脅威フロー情報の伝送実績が、いずれの過去脅威フロー情報の伝送実績にも類似していないため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と異なっていると推測されるためである。そして、優先度判定部63は、判定対象アラートに対して「第4優先度(つまり、高優先度)」を割り当てる。
そして、優先度判定部63は、取得部61で取得された脅威フロー情報と、脅威フロー情報管理テーブルにおいて判定対象アラートの脅威名に属するクラスの最大クラス番号に1を加えた新クラス番号とを対応づけて、記憶部64の脅威フロー情報管理テーブルに記憶させる。
一方、特定した最小値が第2閾値以下である場合、優先度判定部63は、判定対象アラートの優先度が低いと判定する。これは、判定対象アラートに関連する脅威フロー情報の伝送実績が、過去脅威フロー情報の伝送実績に類似しているため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と同じであると推測されるためである。そして、優先度判定部63は、判定対象アラートに対して「第3優先度(つまり、低優先度)」を割り当てる。
そして、優先度判定部63は、取得部61で取得された脅威フロー情報と、上記特定された最小値クラスの番号とを対応づけて、記憶部64の脅威フロー情報管理テーブルに記憶させる。
記憶部64は、上記の脅威フロー情報管理テーブルを記憶する。
<優先度判定装置の動作例>
以上の構成を有する優先度判定装置60の処理動作の一例について説明する。図18及び図19は、第4実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図18の処理フローは、優先度判定装置60がセキュリティアラート(判定対象アラート、第1セキュリティアラート)を受け取ったときにスタートする。
図18のステップS401及びステップS402の処理は、図12のステップS101及びステップS102の処理と同じである。
取得部61は、過去脅威フロー情報を取得する(ステップS403)。例えば、取得部61は、抽出部41にて抽出されたアラート情報のアラート種別情報とアラート種別情報が同じである過去脅威フロー情報を、記憶部64の脅威フロー情報管理テーブルから取得する。
非類似指標算出部62は、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標を算出する(ステップS404)。例えば、非類似指標算出部62は、脅威フロー情報の伝送実績と、脅威フロー情報の脅威名と同じ脅威名の各過去脅威フロー情報の伝送実績との距離を算出する。
優先度判定部63は、判定対象アラートの優先度を判定する(ステップS405)。図19は、優先度判定処理の一例を示すフローチャートである。
優先度判定部63は、ステップS404にて算出された距離の最小値を特定し、該最小値が第2閾値よりも大きいか否かを判定する(ステップS501)。
上記の最小値が第2閾値よりも大きい場合(ステップS501YES)、優先度判定部63は、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第4優先度(つまり、高優先度)を割り当てる(ステップS502)。
上記の最小値が第2閾値以下である場合(ステップS501NO)、優先度判定部63は、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第3優先度(つまり、低優先度)を割り当てる(ステップS503)。
以上のように第4実施形態によれば、優先度判定装置60にて非類似指標算出部62は、脅威フロー情報の伝送実績と過去脅威フロー情報の伝送実績との距離を、非類似指標として算出する。
この優先度判定装置60の構成により、サイバー攻撃の傾向の類似非類似が現れる、伝送実績の距離を、非類似指標として算出することができる。そして、この非類似指標に基づいて判定対象アラートの優先度を判定できるので、判定精度を向上させることができる。
<第5実施形態>
第5実施形態は、判定対象アラートの優先度判定に、「距離」、「分布相違度」、及び「外れ値の有無」を用いる実施形態に関する。すなわち、第5実施形態は、第3実施形態と第4実施形態とを組み合わせたものに相当する。なお、第5実施形態におけるシステムの基本構成は、第2実施形態のシステム1と同じなので、図2を参照して説明する。すなわち、第5実施形態のシステム1は、図2の優先度判定装置40の代わりに、第5実施形態の優先度判定装置70を含んでいる。
<優先度判定装置の構成例>
図20は、第5実施形態における優先度判定装置の一例を示すブロック図である。図20において優先度判定装置70は、取得部71と、非類似指標算出部72と、優先度判定部73と、記憶部74とを有している。優先度判定部73は、判定処理部73Aと、外れ値検出部73Bとを有している。
取得部71は、第2実施形態の取得部42と同様に、脅威フロー情報を取得する。
また、取得部71は、第4実施形態の取得部61と同様に、過去脅威フロー情報を取得する。
また、取得部71は、第2実施形態の取得部42と同様に、脅威フローセット情報を取得する。
また、取得部71は、第2実施形態の取得部42と同様に、脅威フローセット情報管理テーブルから、過去脅威フローセット情報を取得する。ただし、第5実施形態の脅威フローセット情報管理テーブルでは、図21に示すように、脅威名が同じである複数の過去脅威フローセット情報が、非類似指標に基づいて、クラス及びグループに分けられている。図21は、第5実施形態の脅威フローセット情報管理テーブルの一例を示す図である。
非類似指標算出部72は、第4実施形態の非類似指標算出部62と同様に、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標としての距離を算出する。
また、非類似指標算出部72は、第2実施形態の非類似指標算出部43と同様に、脅威フローセット情報及び過去脅威フローセット情報を用いて、非類似指標としての分布相違度を算出する。
判定処理部73Aは、第4実施形態の優先度判定部63と同様に、距離の最小値と最小値クラスの番号とを特定する。そして、優先度判定部63は、特定した距離の最小値と「第2閾値」とを比較し、該最小値が第2閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。そして、判定処理部73Aは、判定対象アラートに対して「第4優先度(つまり、高優先度)」を割り当てる。
そして、判定処理部73Aは、取得部71で取得された脅威フロー情報と、脅威フロー情報管理テーブルにおいて判定対象アラートの脅威名に属するクラスの最大クラス番号に1を加えた新クラス番号とを対応づけて、記憶部74の脅威フロー情報管理テーブルに記憶させる。
一方、特定した距離の最小値が第2閾値以下である場合、判定処理部73Aは、最小値クラス内の各グループについて第2実施形態と同様に算出された分布相違度の最小値と最小値グループとを特定する。また、特定した距離の最小値が第2閾値以下である場合、判定処理部73Aは、取得部71で取得された脅威フロー情報と、上記の最小値クラスとを対応づけて、記憶部74の脅威フロー情報管理テーブルに記憶させる。そして、判定処理部73Aは、特定した分布相違度の最小値と「第1閾値」とを比較し、該最小値が第1閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。そして、判定処理部73Aは、判定対象アラートに対して「第1優先度(つまり、高優先度)」を割り当てる。
そして、判定処理部73Aは、取得部71で取得された脅威フローセット情報と、脅威フローセット情報管理テーブルにおいて判定対象アラートの脅威名に属するグループの最大グループ番号に1を加えた新グループ番号と、上記の最小値クラスとを対応づけて、記憶部74の脅威フローセット情報管理テーブルに記憶させる。
一方、特定した分布相違度の最小値が第1閾値以下である場合、判定処理部73Aは、外れ値検出部73Bにて外れ値が検出されたか否かに基づいて、判定対象アラートの優先度を判定する。例えば、判定処理部73Aは、外れ値検出部73Bにて外れ値が検出された場合、判定対象アラートの優先度が高いと判定して、判定対象アラートに対して「第2優先度」を割り当てる。外れ値検出部73Bにて外れ値が検出されない場合、判定処理部73Aは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第3優先度を割り当てる。また、特定した分布相違度の最小値が第1閾値以下である場合、判定処理部73Aは、取得部71で取得された脅威フローセット情報と、上記の最小値クラスと、上記の最小値グループとを対応づけて、記憶部74の脅威フローセット情報管理テーブルに記憶させる。ここで、第1優先度、第2優先度、及び、第4優先度の優先順位は、種々の設定が可能であり、例えば、この順番で低くなっていてもよい。ただし、第1優先度、第2優先度、及び、第4優先度のいずれも、第3優先度(低優先度)よりも優先度が高くなっている。
外れ値検出部73Bは、第3実施形態の外れ値検出部51Bと同様に、外れ値の検出処理を実行する。
記憶部74は、フロー情報管理テーブル、脅威フローセット情報管理テーブル、及び、脅威フロー情報管理テーブルを記憶している。
<優先度判定装置の動作例>
以上の構成を有する優先度判定装置70の処理動作の一例について説明する。図22及び図23は、第5実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図22の処理フローは、優先度判定装置70がセキュリティアラート(判定対象アラート、第1セキュリティアラート)を受け取ったときにスタートする。
図22のステップS601の処理は、図12のステップS101の処理と同じである。
取得部71は、脅威フロー情報を取得し(ステップS602)、過去脅威フロー情報を取得し(ステップS603)、脅威フローセット情報を取得し(ステップS604)、過去脅威フローセット情報を取得する(ステップS605)。
非類似指標算出部72は、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標としての距離を算出し、脅威フローセット情報及び過去脅威フローセット情報を用いて、非類似指標としての分布相違度を算出する(ステップS606)。
判定処理部73Aは、判定対象アラートの優先度を判定する(ステップS607)。図23は、優先度判定処理の一例を示すフローチャートである。
判定処理部73Aは、ステップS606にて算出された距離の最小値を特定し、該最小値が第2閾値よりも大きいか否かを判定する(ステップS701)。
上記の距離の最小値が第2閾値よりも大きい場合(ステップS701YES)、判定処理部73Aは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第4優先度(つまり、高優先度)を割り当てる(ステップS702)。そして、判定処理部73Aは、取得部71で取得された脅威フロー情報と、判定対象アラートの脅威名に属するクラスの最大クラス番号に1を加えた新クラス番号とを対応づけて、記憶部74の脅威フロー情報管理テーブルに記憶させる。
特定した距離の最小値が第2閾値以下である場合(ステップS701NO)、判定処理部73Aは、最小値クラス内の各グループについて算出された分布相違度の最小値と最小値グループとを特定し、特定した分布相違度の最小値と「第1閾値」とを比較する(ステップS703)。なお、特定した距離の最小値が第2閾値以下である場合、判定処理部73Aは、取得部71で取得された脅威フロー情報と、上記の最小値クラスとを対応づけて、記憶部74の脅威フロー情報管理テーブルに記憶させる。
特定した分布相違度の最小値が第1閾値よりも大きい場合(ステップS703YES)、判定処理部73Aは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して「第1優先度(つまり、高優先度)」を割り当てる(ステップS704)。そして、判定処理部73Aは、取得部71で取得された脅威フローセット情報と、判定対象アラートの脅威名に属するグループの最大グループ番号に1を加えた新グループ番号と、上記の最小値クラスとを対応づけて、記憶部74の脅威フローセット情報管理テーブルに記憶させる。
特定された分布相違度の最小値が第1閾値以下である場合(ステップS703NO)、外れ値検出部73Bは、脅威フローセット情報管理テーブルにて最小値グループの番号と対応づけられている過去脅威フローセット情報に対してクラスタリングを実行する(ステップS705)。そして、外れ値検出部73Bは、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。なお、特定した分布相違度の最小値が第1閾値以下である場合、判定処理部73Aは、取得部71で取得された脅威フローセット情報と、上記の最小値クラスと、上記の最小値グループとを対応づけて、記憶部74の脅威フローセット情報管理テーブルに記憶させる。
判定処理部73Aは、外れ値検出部73Bにて外れ値が検出されたか否かを判定する(ステップS706)。
外れ値検出部73Bにて外れ値が検出された場合(ステップS706YES)、判定処理部73Aは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第2優先度を割り当てる(ステップS707)。
外れ値検出部73Bにて外れ値が検出されない場合(ステップS706NO)、判定処理部73Aは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第3優先度を割り当てる(ステップS708)。
なお、以上では、判定処理部73Aによって距離に基づく優先度判定が行われる前に、取得部71が脅威フローセット情報及び過去脅威フローセット情報を取得し、非類似指標算出部72が脅威フローセット情報及び過去脅威フローセット情報を用いて分布相違度を算出するものとして説明を行ったが、これに限定されない。例えば、判定処理部73Aにて特定された距離の最小値が第2閾値以下であると判断された後に、取得部71が脅威フローセット情報及び過去脅威フローセット情報を取得し、非類似指標算出部72が脅威フローセット情報及び過去脅威フローセット情報を用いて分布相違度を算出してもよい。この場合、取得部71は、最小値クラス内の過去脅威フローセット情報を取得すればよく、非類似指標算出部72は、取得された最小値クラス内の過去脅威フローセット情報についての分布相違度を算出すればよい。
以上のように第5実施形態によれば、優先度判定装置70が距離、分布相違度、及び、外れ値の有無に基づいて判定対象アラートの優先度を判定することができるので、優先度をさらに精緻に判定することができる。
<第6実施形態>
第6実施形態は、優先度に応じた表示制御に関する。
<優先度判定装置の構成例>
図24は、第6実施形態の優先度判定装置の一例を示すブロック図である。図24において優先度判定装置80は、抽出部81と、取得部82と、非類似指標算出部83と、優先度判定部84と、記憶部85と、表示制御部86とを有している。優先度判定装置80は、表示装置90と接続されている。なお、優先度判定装置80の抽出部81、取得部82、非類似指標算出部83、優先度判定部84、及び記憶部85は、第2実施形態から第5実施形態のいずれかの優先度判定装置における対応する機能部と同じ機能を有していてもよい。ここでは、一例として、優先度判定装置80が第2実施形態の優先度判定装置40に対応するものとして説明する。
表示制御部86は、表示装置90に対して、セキュリティアラートを優先度に応じて表示させる制御を実行する。
表示制御部86は、各セキュリティアラートのアラート情報を表示装置90に表示させる。このとき、表示制御部86は、優先度の高いセキュリティアラートを優先的に又は強調して表示させる。
例えば、表示制御部86は、図25に示すように、複数のセキュリティアラートを、発生した順番に関わらず、優先度の高いセキュリティアラートから順番に表示装置90の表示画面に表示させてもよい。図25の例では、セキュリティアラート4,9が高優先度であり、その他のセキュリティアラートが低優先度である。また、表示制御部86は、例えば、高優先度のセキュリティアラートのアラート情報を囲む枠の太さを低優先度のセキュリティアラートのアラート情報を囲む枠の太さよりも太くすることによって、優先度の高いセキュリティアラートを強調表示してもよい。また、表示制御部86は、例えば、セキュリティアラートの優先度に応じて、アラート情報の文字又は表示領域の色を変えてもよい。また、これらの表示方法は、組み合わされてもよい。
また、表示制御部86は、図26に示すように、表示装置90の表示画面においてアラート情報の表示領域がマウスカーソル等によって選択されると、該表示領域に表示されているアラート情報に対応する、脅威フローセット情報の伝送実績情報の散布図、及び、過去脅威フローセット情報の伝送実績情報の散布図が、ポップアップ表示されるように、表示制御してもよい。さらに、表示制御部86は、図27に示すように、セキュリティアラートの優先度の判定理由をポップアップ表示してもよい。優先度の判定理由として、例えば、「脅威フローセット情報が、過去脅威フローセット情報とまったく異なる」等が表示されてもよい。
なお、優先度判定装置80が第4実施形態の優先度判定装置60に対応する場合も、表示制御部86は、以上で説明した表示制御と同じように、表示制御を行うことができる。
また、優先度判定装置80が第3実施形態の優先度判定装置50に対応する場合、表示制御部86は、次のような表示制御を行ってもよい。例えば、表示制御部86は、第1優先度と第2優先度とを区別して、セキュリティアラートを表示させてもよい。この場合、表示制御部86は、例えば、第1優先度に対応するアラート情報、第2優先度に対応するアラート情報、第3優先度に対応するアラート情報の順に表示されるように、表示制御を行ってもよい。また、表示制御部86は、例えば、第1優先度に対応するアラート情報の色を「赤」、第2優先度に対応するアラート情報の色を「黄」、第3優先度に対応するアラート情報の色を「青」にするように、表示制御を行ってもよい。また、表示制御部86は、アラート情報を囲む枠の太さを、第1優先度に対応する枠が一番太く、第2優先度に対応する枠が次に太く、第3優先度に対応する枠が一番細くなるように、表示制御を行ってもよい。また、これらの表示方法が組み合わされてもよい。又は、表示制御部86は、第1優先度と第2優先度とを区別せずに、セキュリティアラートを表示させてもよい。この場合、第1優先度に対応する色と第2優先度に対応する色とは、同じとなる。また、第1優先度に対応する枠の太さと第2優先度に対応する枠の太さとは同じとなる。
また、優先度判定装置80が第5実施形態の優先度判定装置70に対応する場合、表示制御部86は、次のような表示制御を行ってもよい。例えば、表示制御部86は、第1優先度と第2優先度と第4優先度とを区別して、セキュリティアラートを表示させてもよい。この場合、表示制御部86は、例えば、第1優先度に対応するアラート情報、第2優先度に対応するアラート情報、第4優先度に対応するアラート情報、第3優先度に対応するアラート情報の順に表示されるように、表示制御を行ってもよい。また、表示制御部86は、例えば、第1優先度に対応するアラート情報の色を「赤」、第2優先度に対応するアラート情報の色を「黄」、第4優先度に対応するアラート情報の色を「黄緑」、第3優先度に対応するアラート情報の色を「青」にするように、表示制御を行ってもよい。また、表示制御部86は、アラート情報を囲む枠の太さを、第1優先度に対応する枠が一番太く、第2優先度に対応する枠が次に太く、第4優先度に対応する枠が次に太く、第3優先度に対応する枠が一番細くなるように、表示制御を行ってもよい。また、これらの表示方法が組み合わされてもよい。又は、表示制御部86は、第1優先度と第2優先度と第4優先度とを区別せずに、セキュリティアラートを表示させてもよい。この場合、第1優先度に対応する色と第2優先度に対応する色と第4優先度に対応する色は、同じとなる。また、第1優先度に対応する枠の太さと第2優先度に対応する枠の太さと第4優先度に対応する枠の太さは同じとなる。
以上のように第6実施形態によれば、優先度判定装置80において、表示制御部86は、セキュリティアラートを優先度に応じて表示する制御を実行する。
この優先度判定装置80の構成により、優先度の高いセキュリティアラートを優先的に又は強調して表示することが可能となる。このため、優先度が高いセキュリティアラートを一見して認識することができるので、SOC分析官は、優先度の高いセキュリティアラートに対応する事態に対する対策を優先的に講じることができる。この結果として、対応ネットワークのセキュリティレベルを向上させることができる。また、SOC分析官の業務効率を向上させることもできる。
<他の実施形態>
図28は、優先度判定装置のハードウェア構成例を示す図である。図28において優先度判定装置100は、プロセッサ101と、メモリ102とを有している。プロセッサ101は、例えば、マイクロプロセッサ、MPU(Micro Processing Unit)、又はCPU(Central Processing Unit)であってもよい。プロセッサ101は、複数のプロセッサを含んでもよい。メモリ102は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ102は、プロセッサ101から離れて配置されたストレージを含んでもよい。この場合、プロセッサ101は、図示されていないI/Oインタフェースを介してメモリ102にアクセスしてもよい。
第1実施形態から第6実施形態の優先度判定装置10,40,50,60、70,80は、それぞれ、図28に示したハードウェア構成を有することができる。第1実施形態から第6実施形態の優先度判定装置10,40,50,60、70,80の抽出部41,81と、取得部42,61,71,82と、非類似指標算出部11,43,62,72,83と、優先度判定部12,44,51,63,73,84と、表示制御部86とは、プロセッサ101がメモリ102に記憶されたプログラムを読み込んで実行することにより実現されてもよい。プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、優先度判定装置10,40,50,60、70,80に供給することができる。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)を含む。さらに、非一時的なコンピュータ可読媒体の例は、CD-ROM(Read Only Memory)、CD-R、CD-R/Wを含む。さらに、非一時的なコンピュータ可読媒体の例は、半導体メモリを含む。半導体メモリは、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory)を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によって優先度判定装置10,40,50,60、70,80に供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムを優先度判定装置10,40,50,60、70,80に供給できる。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績との非類似指標を算出する非類似指標算出部と、
前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定部と、
を具備する優先度判定装置。
(付記2)
前記優先度判定部は、前記算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも、前記算出された非類似指標が示す非類似レベルが所定レベルより高い場合に、前記第1セキュリティアラートに対して、より高い優先度を割り当てる、
付記1記載の優先度判定装置。
(付記3)
前記非類似指標算出部は、前記第1トラヒックフローの伝送実績についての第1分布及び前記第2トラヒックフローの伝送実績についての第2分布を算出し、前記第1分布と前記第2分布との分布相違度を、前記非類似指標として算出する、
付記1又は2に記載の優先度判定装置。
(付記4)
前記非類似指標算出部は、前記第1トラヒックフローの伝送実績と前記第2トラヒックフローの伝送実績との距離を、前記非類似指標として算出する、
付記1から3のいずれか1項に記載の優先度判定装置。
(付記5)
前記優先度判定部は、さらに、前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在するか否かに基づいて、前記第1セキュリティアラートの優先度を判定する、
付記1から4のいずれか1項に記載の優先度判定装置。
(付記6)
前記第1セキュリティアラート及び前記第2セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知された各第2セキュリティアラートに関連する第2トラヒックフローの伝送実績がアラート識別情報及び分布相違度に基づいてグループ分けされた複数のグループのうちで前記第1セキュリティアラートと同じアラート識別情報に対応する各グループの伝送実績と、前記第1セキュリティアラートに関連する第1トラヒックフローの伝送実績とについての、前記分布相違度を算出する、
付記3記載の優先度判定装置。
(付記7)
前記優先度判定部は、前記グループの単位で算出された分布相違度と第1閾値との大小に基づいて、前記第1セキュリティアラートの前記優先度を判定する、
付記6記載の優先度判定装置。
(付記8)
前記第1セキュリティアラート及び前記第2セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知され且つ前記第1セキュリティアラートと同じアラート識別情報を含む各第2セキュリティアラートに関連する第2トラヒックフローの伝送実績と、前記第1セキュリティアラートに関連する第1トラヒックフローの伝送実績とについての、前記距離を算出する、
付記4記載の優先度判定装置。
(付記9)
前記優先度判定部は、前記算出された距離と第2閾値との大小に基づいて、前記第1セキュリティアラートの前記優先度を判定する、
付記8記載の優先度判定装置。
(付記10)
前記優先度判定部は、
前記分布相違度が第1閾値より大きい場合、前記第1セキュリティアラートに対して、第1優先度を割り当て、
前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在する場合、前記第1優先度よりも優先度の低い第2優先度を割り当て、
前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在しない場合、前記第2優先度よりも優先度の低い第3優先度を割り当てる、
付記3記載の優先度判定装置。
(付記11)
前記非類似指標算出部は、前記第1トラヒックフローの伝送実績と前記第2トラヒックフローの伝送実績との距離を、前記非類似指標として算出し、
前記優先度判定部は、
前記距離が第2閾値よりも大きい場合、前記第1セキュリティアラートに対して、第4優先度を割り当て、
前記距離が前記第2閾値以下であり且つ前記分布相違度が第1閾値より大きい場合、前記第1セキュリティアラートに対して、前記第4優先度よりも優先度の高い第1優先度を割り当て、
前記距離が前記第2閾値以下であり且つ前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在する場合、前記第1優先度よりも優先度の低く且つ前記第4優先度よりも優先度の高い第2優先度を割り当て、
前記距離が前記第2閾値以下であり且つ前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在しない場合、前記第4優先度よりも優先度の低い第3優先度を割り当てる、
付記3記載の優先度判定装置。
(付記12)
前記優先度に応じた表示を制御する表示制御部をさらに具備する、
付記1から11のいずれか1項に記載の優先度判定装置。
(付記13)
ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績との非類似指標を算出し、
前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定する、
優先度判定方法。
(付記14)
ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績特性との非類似指標を算出し、
前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定する、
処理を、優先度判定装置に実行させる制御プログラムが格納された非一時的なコンピュータ可読媒体。
1 システム
10 優先度判定装置
11 非類似指標算出部
12 優先度判定部
20 ネットワーク型進入検知装置
30 トラヒック監視装置
40 優先度判定装置
41 抽出部
42 取得部
43 非類似指標算出部
44 優先度判定部
45 記憶部(記憶装置)
50 優先度判定装置
51 優先度判定部
51A 判定処理部
51B 外れ値検出部
60 優先度判定装置
61 取得部
62 非類似指標算出部
63 優先度判定部
64 記憶部
70 優先度判定装置
71 取得部
72 非類似指標算出部
73 優先度判定部
73A 判定処理部
73B 外れ値検出部
74 記憶部
80 優先度判定装置
81 抽出部
82 取得部
83 非類似指標算出部
84 優先度判定部
85 記憶部
86 表示制御部
90 表示装置

Claims (12)

  1. ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績との非類似指標を算出する非類似指標算出部と、
    前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定する優先度判定部と、
    を具備し、
    前記優先度判定部は、前記算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも、前記算出された非類似指標が示す非類似レベルが所定レベルより高い場合に、前記第1セキュリティアラートに対して、より高い優先度を割り当て、
    前記非類似指標算出部は、前記第1トラヒックフローの伝送実績についての第1分布及び前記第2トラヒックフローの伝送実績についての第2分布を算出し、前記第1分布と前記第2分布との分布相違度を、前記非類似指標として算出する、
    優先度判定装置。
  2. 前記非類似指標算出部は、前記第1トラヒックフローの伝送実績と前記第2トラヒックフローの伝送実績との距離を、前記非類似指標として算出する、
    請求項1記載の優先度判定装置。
  3. 前記優先度判定部は、さらに、前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在するか否かに基づいて、前記第1セキュリティアラートの優先度を判定する、
    請求項1又は2に記載の優先度判定装置。
  4. 前記第1セキュリティアラート及び前記第2セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
    前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知された各第2セキュリティアラートに関連する第2トラヒックフローの伝送実績がアラート識別情報及び分布相違度に基づいてグループ分けされた複数のグループのうちで前記第1セキュリティアラートと同じアラート識別情報に対応する各グループの伝送実績と、前記第1セキュリティアラートに関連する第1トラヒックフローの伝送実績とについての、前記分布相違度を算出する、
    請求項記載の優先度判定装置。
  5. 前記優先度判定部は、前記グループの単位で算出された分布相違度と第1閾値との大小に基づいて、前記第1セキュリティアラートの前記優先度を判定する、
    請求項記載の優先度判定装置。
  6. 前記第1セキュリティアラート及び前記第2セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
    前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知され且つ前記第1セキュリティアラートと同じアラート識別情報を含む各第2セキュリティアラートに関連する第2トラヒックフローの伝送実績と、前記第1セキュリティアラートに関連する第1トラヒックフローの伝送実績とについての、前記距離を算出する、
    請求項記載の優先度判定装置。
  7. 前記優先度判定部は、前記算出された距離と第2閾値との大小に基づいて、前記第1セキュリティアラートの前記優先度を判定する、
    請求項記載の優先度判定装置。
  8. 前記優先度判定部は、
    前記分布相違度が第1閾値より大きい場合、前記第1セキュリティアラートに対して、第1優先度を割り当て、
    前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在する場合、前記第1優先度よりも優先度の低い第2優先度を割り当て、
    前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在しない場合、前記第2優先度よりも優先度の低い第3優先度を割り当てる、
    請求項記載の優先度判定装置。
  9. 前記非類似指標算出部は、前記第1トラヒックフローの伝送実績と前記第2トラヒックフローの伝送実績との距離を、前記非類似指標として算出し、
    前記優先度判定部は、
    前記距離が第2閾値よりも大きい場合、前記第1セキュリティアラートに対して、第4優先度を割り当て、
    前記距離が前記第2閾値以下であり且つ前記分布相違度が第1閾値より大きい場合、前記第1セキュリティアラートに対して、前記第4優先度よりも優先度の高い第1優先度を割り当て、
    前記距離が前記第2閾値以下であり且つ前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在する場合、前記第1優先度よりも優先度の低く且つ前記第4優先度よりも優先度の高い第2優先度を割り当て、
    前記距離が前記第2閾値以下であり且つ前記分布相違度が前記第1閾値以下であり且つ前記第1トラヒックフローの伝送実績及び前記第2トラヒックフローの伝送実績に外れ値が存在しない場合、前記第4優先度よりも優先度の低い第3優先度を割り当てる、
    請求項記載の優先度判定装置。
  10. 前記優先度に応じた表示を制御する表示制御部をさらに具備する、
    請求項1からのいずれか1項に記載の優先度判定装置。
  11. ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績との非類似指標を算出することと
    前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定することと
    を含み、
    前記優先度を判定することは、前記算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも、前記算出された非類似指標が示す非類似レベルが所定レベルより高い場合に、前記第1セキュリティアラートに対して、より高い優先度を割り当てることを含み、
    前記非類似指標を算出することは、前記第1トラヒックフローの伝送実績についての第1分布及び前記第2トラヒックフローの伝送実績についての第2分布を算出し、前記第1分布と前記第2分布との分布相違度を、前記非類似指標として算出することを含む、
    優先度判定方法。
  12. ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第1セキュリティアラートに関連する第1トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第2セキュリティアラートに関連する第2トラヒックフローの伝送実績特性との非類似指標を算出することと
    前記算出された非類似指標に基づいて、前記第1セキュリティアラートの優先度を判定することと
    を含む処理を、優先度判定装置に実行させ
    前記優先度を判定することは、前記算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも、前記算出された非類似指標が示す非類似レベルが所定レベルより高い場合に、前記第1セキュリティアラートに対して、より高い優先度を割り当てることを含み、
    前記非類似指標を算出することは、前記第1トラヒックフローの伝送実績についての第1分布及び前記第2トラヒックフローの伝送実績についての第2分布を算出し、前記第1分布と前記第2分布との分布相違度を、前記非類似指標として算出することを含む、
    制御プログラム。
JP2020570249A 2019-02-05 2019-02-05 優先度判定装置、優先度判定方法、及び制御プログラム Active JP7081695B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/004117 WO2020161808A1 (ja) 2019-02-05 2019-02-05 優先度判定装置、優先度判定方法、及びコンピュータ可読媒体

Publications (2)

Publication Number Publication Date
JPWO2020161808A1 JPWO2020161808A1 (ja) 2021-10-28
JP7081695B2 true JP7081695B2 (ja) 2022-06-07

Family

ID=71948171

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020570249A Active JP7081695B2 (ja) 2019-02-05 2019-02-05 優先度判定装置、優先度判定方法、及び制御プログラム

Country Status (3)

Country Link
US (1) US11956256B2 (ja)
JP (1) JP7081695B2 (ja)
WO (1) WO2020161808A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113271232B (zh) * 2020-10-27 2022-01-11 苏州铁头电子信息科技有限公司 一种在线办公网络扰动处理方法及装置
CN115348615B (zh) * 2022-10-20 2022-12-20 南京智轩诚网络科技有限公司 一种基于大数据的低延迟5g通信方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050044406A1 (en) 2002-03-29 2005-02-24 Michael Stute Adaptive behavioral intrusion detection systems and methods
JP2005244429A (ja) 2004-02-25 2005-09-08 Intelligent Cosmos Research Institute ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム
JP2011182030A (ja) 2010-02-26 2011-09-15 Kddi Corp Bgp不正メッセージ検出方法および装置
JP2017147558A (ja) 2016-02-16 2017-08-24 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP2017152852A (ja) 2016-02-23 2017-08-31 株式会社日立製作所 通信システム、通信装置、および通信システムの通信制御方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050149299A1 (en) * 2002-04-24 2005-07-07 George Bolt Method and system for detecting change in data streams
KR100502079B1 (ko) * 2003-08-27 2005-07-25 한국전자통신연구원 네트워크 상에서의 경보 정보 트래픽 제어 시스템 및 방법
JP5870009B2 (ja) * 2012-02-20 2016-02-24 アラクサラネットワークス株式会社 ネットワークシステム、ネットワーク中継方法及び装置
US9124621B2 (en) * 2012-09-27 2015-09-01 Hewlett-Packard Development Company, L.P. Security alert prioritization
JP6001689B2 (ja) 2013-01-30 2016-10-05 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
DE102013216847B4 (de) * 2013-08-23 2023-06-01 Siemens Mobility GmbH Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit
WO2016138400A1 (en) * 2015-02-27 2016-09-01 Cisco Technology, Inc. System and methods for computer network security involving user confirmation of network connections
US11057399B2 (en) * 2015-06-26 2021-07-06 Nec Corporation Information processing device, information processing system, information processing method, and storage medium for intrusion detection by applying machine learning to dissimilarity calculations for intrusion alerts
US9794158B2 (en) * 2015-09-08 2017-10-17 Uber Technologies, Inc. System event analyzer and outlier visualization
US10462173B1 (en) * 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
CN106886860A (zh) * 2017-03-16 2017-06-23 深圳天源迪科信息技术股份有限公司 应用于公安行业的大数据可视化分析展现平台
US10812503B1 (en) * 2017-04-13 2020-10-20 United Services Automobile Association (Usaa) Systems and methods of detecting and mitigating malicious network activity
US10587577B2 (en) * 2017-09-27 2020-03-10 Servicenow, Inc. Dynamic, event-driven traffic control in a managed network
KR102057459B1 (ko) * 2017-11-27 2020-01-22 (주)에이알씨엔에스 네트워크 트래픽 플로우를 이용한 보안상황 종합 분석 및 인지 시스템
US11245726B1 (en) * 2018-04-04 2022-02-08 NortonLifeLock Inc. Systems and methods for customizing security alert reports

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050044406A1 (en) 2002-03-29 2005-02-24 Michael Stute Adaptive behavioral intrusion detection systems and methods
JP2005244429A (ja) 2004-02-25 2005-09-08 Intelligent Cosmos Research Institute ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム
JP2011182030A (ja) 2010-02-26 2011-09-15 Kddi Corp Bgp不正メッセージ検出方法および装置
JP2017147558A (ja) 2016-02-16 2017-08-24 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP2017152852A (ja) 2016-02-23 2017-08-31 株式会社日立製作所 通信システム、通信装置、および通信システムの通信制御方法

Also Published As

Publication number Publication date
WO2020161808A1 (ja) 2020-08-13
US20220060487A1 (en) 2022-02-24
JPWO2020161808A1 (ja) 2021-10-28
US11956256B2 (en) 2024-04-09

Similar Documents

Publication Publication Date Title
US11025674B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
JP7441582B2 (ja) データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム
US11601475B2 (en) Rating organization cybersecurity using active and passive external reconnaissance
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
CN116506217B (zh) 业务数据流安全风险的分析方法、系统、存储介质及终端
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
CN105009132A (zh) 基于置信因子的事件关联
CN107408181A (zh) 恶意软件感染终端的检测装置、恶意软件感染终端的检测系统、恶意软件感染终端的检测方法以及恶意软件感染终端的检测程序
CN108809745A (zh) 一种用户异常行为检测方法、装置及系统
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
JP2016152594A (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
KR20200057903A (ko) 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법
US20210281609A1 (en) Rating organization cybersecurity using probe-based network reconnaissance techniques
WO2019136850A1 (zh) 风险行为识别方法、存储介质、设备及系统
CN110519264A (zh) 攻击事件的追踪溯源方法、装置及设备
JP7081695B2 (ja) 優先度判定装置、優先度判定方法、及び制御プログラム
US20130318609A1 (en) Method and apparatus for quantifying threat situations to recognize network threat in advance
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
JP2023550974A (ja) イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
CN110912933B (zh) 一种基于被动测量的设备识别方法
CN111885011A (zh) 一种业务数据网络安全分析挖掘的方法及系统
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN108540471B (zh) 移动应用网络流量聚类方法、计算机可读存储介质和终端
Kalamaras et al. MoVA: a visual analytics tool providing insight in the big mobile network data

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210609

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220413

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220509

R151 Written notification of patent or utility model registration

Ref document number: 7081695

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151