JP7202932B2 - サイバー攻撃検知装置 - Google Patents
サイバー攻撃検知装置 Download PDFInfo
- Publication number
- JP7202932B2 JP7202932B2 JP2019046668A JP2019046668A JP7202932B2 JP 7202932 B2 JP7202932 B2 JP 7202932B2 JP 2019046668 A JP2019046668 A JP 2019046668A JP 2019046668 A JP2019046668 A JP 2019046668A JP 7202932 B2 JP7202932 B2 JP 7202932B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- detection means
- detection
- information
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
以下に、実施の形態1を図1から図7に基づいて説明する。図1は、実施の形態1におけるサイバー攻撃検知装置を示す機能構成図である。サイバー攻撃検知装置10は、外部からの攻撃を示す検知アラート101を受信し、検知アラート101のデータ部分をアラートデータ102として取得するアラート受信部11と、次に攻撃対象となる機器をアラートデータ102に基づいて予測し、次に攻撃対象となる機器の識別情報を次攻撃対象103として出力する次攻撃対象予測部12と、例えば制御系システムなどのシステムを構成するそれぞれの機器について、セキュリティに関する情報を含む構成上の情報と、攻撃および異常を検知する検知手段に関する情報を保持する構成管理データベース(以下、構成管理DB)1011と、次攻撃対象103に応じた検索キー1011aを用いて構成管理DB1011を参照し、対応する検索結果1011bを取得するとともに、検索結果1011bから得られる検知手段リスト104を出力する構成管理DB参照部13と、実施する検知手段を検知手段リスト104から選択し、実施検知手段105として出力する検知手段選択部14とを備えている。
なお、実施の形態1では、現在の攻撃対象が同一または他の攻撃手法により続けて攻撃される(次の攻撃対象も機器Vである)と予測されたと仮定し、以降の説明もこの仮定の下で行う。
#1「機器のログの分析」は、機器Vのログを取得して分析することにより、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。より具体的には、#1「機器のログの分析」により、機器Vに対する攻撃および機器Vに発生している異常が検知される。ここで、機器Vにおける異常の発生は、機器Vに対する攻撃が成功し、機器Vが何らかの侵害を受けている可能性があることを示すので、機器Vに発生している異常を検知することは、機器Vに対する攻撃を間接的に検知することになる。このように、#1「機器のログの分析」は、機器Vに対する攻撃を直接的または間接的に検知する。このように機器Vに対する攻撃を直接的または間接的に検知する点は、後述する#2から#5の検知手段でも同様である。
#2「接続されているスイッチのログの分析」は、機器Vに接続されているネットワークスイッチのログを取得して分析することにより、機器Vの通信状況から、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。
なお、ここでは「接続されているスイッチのログ」とし、一例として機器Vに接続されているネットワークスイッチのログとしているが、機器Vが接続されているネットワークの通信を監視または制御する機器のログであればよい。例えば、機器Vが接続されているネットワークの通信を制御するファイアウオール機器のログ、機器Vのネットワーク上の振る舞いを監視するセキュリティ機器のログであってもよい。#2「接続されているスイッチのログの分析」については、以降の説明でも同様である。
#3「アクティブ検査」は、能動的な検査により機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。「アクティブ検査」の具体例としては、「検査パケットによる検査」「リモートログインによる検査」等がある。
「検査パケットによる検査」は、外部のセキュリティ検査装置から機器Vへ検査パケットを送信し、検査パケットに対する応答内容および応答タイミングなどをセキュリティ検査装置側で分析して機器Vに対する攻撃および機器Vに発生している異常を検知する。例えば、検査パケットに対する応答に異常があれば、先行する攻撃が成功し、機器Vに異常が発生しているとみなされる。
「リモートログインによる検査」は、外部のセキュリティ検査装置から機器Vにリモートログインして機器Vのリソースの消費状況等を調査し、リソース消費の異常の有無から機器Vおける攻撃または異常を検知する。また、「リモートログインによる検査」においては、リモートログイン中に検査用のOSコマンドを実行して情報を取得、分析することも考えられる。
#4「常時監視データの分析」は、機器Vの常時監視データをログと同様に分析することで機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。ここで「常時監視データ」は、機器Vのプロセッサ71およびメモリ72などのリソースを外部から定期的に監視することで得られたデータ、または特定のエラーの発生を定期的に監視することで得られたデータである。なお、#4「常時監視データの分析」を実施できるのは、上記のような監視を行う運用がなされ、常時監視データが蓄積されている場合である。
#5「連携関係のある機器の分析」は、機器Vと連携関係のある機器Xの状態を分析することにより、機器Vに対する攻撃および機器Vに発生している異常を検知する検知手段である。ここで「連携関係」とは、「機器Vと機器Xがネットワークを介してデータを送受信する」「USBメモリを用いて機器Vと機器Xの間でデータ移動が行われる」「機器Vの利用者が機器Vの処理結果(例えばオン/オフ指令または数値)を用いて機器Xを操作する、あるいは機器Vの処理結果を機器Xに入力する」など、システム上の通信による連携だけでなく、人手を介した命令及びデータ入力のような業務フロー上の連携も含めた、広い意味での「連携関係」を意味している。「機器Xと機器Vは連携関係がある」場合、機器Vの処理結果および機器Vのデータが機器Xに影響を与え、機器Xの処理結果および機器Xのデータが機器Vに影響を与える可能性がある。この場合、一方に発生した異常または一方が受けた攻撃は、他方に対しても影響を与える可能性がある。このことを利用し、#5「連携関係のある機器の分析」は、機器Vと連携関係がある機器Xの状態から機器Vに対する攻撃および機器Vに発生している異常を検知する。
なお、実施可能な検知手段は状況により変わるものであり、実施された検知手段の数であるnも状況により変わることを考慮すると、閾値thも状況に応じて変えることが考えられる。すなわち、判定パラメータ1022としては検出割合αを与えて閾値thの値をth=n×αで算出し、算出された閾値thを判定に用いることが考えられる。
検知手段選択部14は、対応する状況83bより、機器Vのログの有無を確認する(ステップST901)。機器Vのログがある場合はステップST902に進み、無い場合はステップST903に進む。
検知手段選択部14は、対応する状況83bより、機器Vに接続されているネットワークスイッチのログの有無を確認する(ステップST903)。このネットワークスイッチのログがある場合はステップST904に進み、無い場合はステップST905に進む。
検知手段選択部14は、対応する状況83bより、機器Vに対して何らかのアクティブ検査を実施可能であるか否かを判定する(ステップST905)。実施可能である場合はステップST906に進み、実施可能で無い場合はステップST909に進む。
検知手段選択部14は、対応する状況83bより、機器Vの常時監視データの有無を確認する(ステップST909)。機器Vの常時監視データがある場合はステップST910に進み、無い場合はステップST911に進む。
検知手段選択部14は、対応する状況83bより、機器Vと連携関係のある機器の有無を確認する(ステップST911)。連携関係のある機器がある場合はステップST912に進み、無い場合は検知手段選択処理を終了する。
上記のように、将来の一定の期間についても検知手段を実施する場合、仮に検知時刻DTにおいて見過ごした攻撃または異常がある場合でも、次回以降の検知手段の実施により攻撃または異常を検知し、サイバー攻撃の検知をより確実に行うことができる
以下、各検知手段の実施処理について説明する。
上述したように、#1「機器のログの分析」における連携セキュリティ装置91であるログ分析装置には、処理の状態を記録したログおよび認証エラー等のセキュリティのログ等が保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記のログを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、機器V上での認証エラー等を検索するための検索式などを含んでいる。ログ分析装置は、実施命令1012によってログの分析を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013には、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報が含まれる。
このように、#1「機器のログの分析」により、機器Vのログに痕跡が残る攻撃または異常を検知することができる。
上述したように、#2「接続されているスイッチのログの分析」における連携セキュリティ装置91であるログ分析装置は、機器Vの通信先、通信量および通信頻度等の機器Vの通信状況に関する情報を含む通信ログが保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記の通信ログを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、機器Vが行った異常な通信を検索するための検索式などを含んでいる。なお、異常な通信とは、例えば、機器Vに対するポートスキャンまたはDoS攻撃等がある。すなわち、短期間に複数のサービス(ポート)に接続を試みる通信または大量のパケットを送りつける通信である。ログ分析装置は、実施命令1012によって通信ログの分析を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。
このように、検知手段「接続されているスイッチのログの分析」により、機器Vに接続されているネットワークスイッチのログに痕跡が残る攻撃または異常を検知することができる。
上述したように、#3「アクティブ検査」における連携セキュリティ装置91であるセキュリティ検査装置は、機器Vに対してネットワーク経由でアクティブ検査を実施するセキュリティ検査ツールを備えている。「アクティブ検査」には様々な方法があるが、検査パケットを用いる方法では、検査パケットを機器Vの特定のポートに送信することにより、TCPポートまたはUDPポートなどのうち、本来は開いていないはずのポートが開いている、あるいは本来開いているはずのポートが開いていないことなどを、検査パケットに対する応答をみることで確認する。例えば、本来なら開いているはずのTCPポートに対して検査パケットを送ることで接続を試みたが応答が無い場合、攻撃によって発生した異常によりTCPポートが応答しなくなったと判断する。また、リモートログインによる方法では、機器Vにリモートログインして起動プロセスを確認し、本来起動しないはずのプロセスが起動しているかなどを確認する。検知手段実施部15は、セキュリティ検査装置に対して実施命令1012を送信し、上記のアクティブ検査を実施させる。実施命令1012は、機器Vの識別子、状況83bに示された検査種別(検査パケットまたはリモートログイン等)、検査可能な時間帯などの、検査の制限に関する情報を含んでいる。セキュリティ検査装置は、実施命令1012によって実施したアクティブ検査の結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。
このように、検知手段「アクティブ検査」により、ネットワーク経由型のセキュリティ検査ツールを用いた能動的な検査により攻撃または異常を検知し、攻撃の検知することができる。
上述したように、#4「常時監視データの分析」における連携セキュリティ装置91であるログ分析装置には、機器Vのプロセッサ71およびメモリ72などのリソース消費量、または特定のエラーの発生が定期的に記録された常時監視データがログとして保存されている。検知手段実施部15は、ログ分析装置に対して実施命令1012を送信し、上記の常時監視データを分析させる。実施命令1012は、機器Vの識別子、検索期間(「DT~DT+ΔT」など)、リソース消費量の異常値などを検索するための検索式などを含んでいる。ログ分析装置は、実施命令1012によって常時監視データ検索を行った結果を実施結果1013として検知手段実施部15に返す。実施結果1013は、機器Vに対する攻撃または機器Vに発生している異常が検知されたか否かを示す情報を含んでいる。機器Vが攻撃されてそのリソースが影響を受けると、プロセッサ等のリソースの消費量が異常な値を示す場合がある。実施命令1012中の検索式は、所定値のベースラインを上回るリソース消費量を抽出する検索式となっており、検索式を実行することで異常の有無の判定と異常値の抽出が行われる。なお、常時監視データを蓄積する段階で正常/異常の判定を定期的に行い、その結果も合わせて保存してもよく、この場合は異常と判定されたデータを検索すればよい。また、常時監視データとして特定のエラーの発生を記録している場合は、この特定のエラーの発生を示すデータを検索する検索式が用いられる。リソース消費における異常な値および特定のエラーの発生は、機器Vの異常を示し、機器Vが攻撃を受けていることを示す情報となる。
このように、検知手段「常時監視データの分析」により、機器Vのリソース消費に異常を発生させる攻撃および異常、および特定のエラーを発生させる攻撃および異常を検知することができる。
#5「連携関係のある機器の分析」について、図6および図7に基づいて説明する。図6は、#5「連携関係のある機器の分析」を示す機能構成図であり、関連部分を図1から切り出した部分図である。また、図7は、#5「連携関係のある機器の分析」の処理の流れを示すフロー図である。#5「連携関係のある機器の分析」を実施する場合、検知手段実施部15は対応する状況83bを参照して機器Xの識別情報1031を取得し(ステップST501)、構成管理DB参照部13に送る。構成管理DB参照部13は、機器Xの識別情報1031を検索キー5011aとして構成管理DB1011を参照し、検索結果5011bから、機器Xに対する攻撃および機器Xに発生している異常を検知するための検知手段リスト504を得る(ステップST502)。検知手段選択部14は、機器Vの場合の検知手段選択処理と同様にして、機器Xに対して実施する検知手段を検知手段リスト504から選択し(ステップST503)、実施検知手段505として出力する。検知手段実施部15は、機器Xに対して実施検知手段505を実施し(ステップST504)、機器Xについての検知結果506を得る。
以下に、実施の形態2を図8に基づいて説明する。なお、図1から図7と同一又は相当部分については同一の符号を付し、その説明を省略する。図8は、実施の形態2に係る構成管理データベースが保持する情報の例を示す図であり、機器Vのエントリである。エントリ81は、各機器の構成および状態を示すインベントリ82と、各機器に対する攻撃または異常の検知に関する情報である検知関連情報831を含む。インベントリ82については実施の形態1と同様である。
その他については実施の形態1と同様であるので、その説明を省略する。
また、より効率よくサイバー攻撃の検知を行うことができる。より具体的には、各検知手段に優先順位をつけ、この優先順位に従って検知手段を実施するとともに、1つの検知手段が完了する都度、サイバー攻撃を受けているか否かの判定を行い、判定結果が出た時点で検知手段の実施を終了する構成とした。このため、実施可能と判定された検知手段を全て実施することは必ずしも必要ではなく、より効率良くサイバー攻撃の検知を行うことができる。
以下に、実施の形態3を図9に基づいてについて説明する。図1から図8と同一又は相当部分については同一の符号を付し、その説明を省略する。上述した実施の形態1、2では、次の攻撃対象と予測される機器が現在の攻撃対象と同じ機器Vであるとしていた。これとは異なり、実施の形態3では、次の攻撃対象と予測される機器が現在の攻撃対象とは異なる機器であるとする。図9は、実施の形態3におけるサイバー攻撃検知装置を示す機能構成図である。サイバー攻撃検知装置30において、次攻撃対象予測部32は、アラートデータ102が入力されて、先行攻撃情報であるアラートデータ102に含まれる情報と構成管理DBに保存されている情報を照合して、次に攻撃される機器を予測する。このため、実施の形態3においては、アラートデータ102と照合可能な情報(以下、照合可能情報)が構成管理DB3011に保存されている。照合可能情報は、インベントリ82に含めればよい(図示省略)。必要な照合可能情報は現在の攻撃の攻撃種別により異なるが、各機器のネットワークアドレス(あるいはIPアドレスとサブネットマスク)、残存する脆弱性のCVE番号、各機器で稼働しているサービスおよびこのサービスの稼働ために開く必要があるポートのポート番号などが考えられる。以下、具体的に説明する。
その他については実施の形態1と同様であるので、その説明を省略する。
以下に、実施の形態4について説明する。なお、実施の形態4におけるサイバー攻撃検知装置を示す機能構成図等は実施の形態1と同様であるので、図1および図3に基づいて説明を行う。実施の形態4は、実施可能な検知手段のうち、予め定められた特定の検知手段のみを実施するものである。例えば、#1「機器のログの分析」のみ、または#3「アクティブ検査」のみとする。実施する検知手段は、選択パラメータ1021で指定すればよい。実施する検知手段を複数した場合は、実施の形態2のように、実施する順序を指定してもよい。
その他については実施の形態1と同様であるので、その説明を省略する。
また、実施する検知手段を予め指定するため、運用上の観点から検知手段を制限したい場合などに柔軟に対応することができる。
従って、例示されていない無数の変形例が、本願に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
Claims (9)
- システムを構成するそれぞれの構成要素について、前記構成要素に対する攻撃および前記構成要素に発生している異常を検知する検知手段を実施し、前記検知手段を実施した結果に基づいてサイバー攻撃の検知を行うサイバー攻撃検知装置であって、
前記それぞれの構成要素に対する前記検知手段の実施可能性を示す情報である検知手段実施可能性情報を前記それぞれの構成要素および前記検知手段と紐付けて構成した検知手段リストを保存する構成管理データベースと、
前記構成要素に対して行われている攻撃に関する情報である先行攻撃情報を含む検知アラートを受信し、前記先行攻撃情報を前記検知アラートから取得する先行攻撃情報取得部と、
前記先行攻撃情報に基づいて次の攻撃対象を予測し、予測した前記次の攻撃対象の識別情報を次攻撃対象情報として出力する次攻撃対象予測部と、
前記次攻撃対象情報を検索キーとして前記構成管理データベースを参照し、前記次の攻撃対象と予測された前記構成要素についての前記検知手段リストを取得する検知手段リスト取得部と、
予め定められた検知手段選択条件と、前記次の攻撃対象と予測された前記構成要素に紐付けられた前記検知手段実施可能性情報とに基づいて、前記次の攻撃対象と予測された前記構成要素に対して実施可能な前記検知手段を前記検知手段リストから選択する検知手段選択部と、
前記検知手段選択部によって選択された前記検知手段を実施し、得られた検知結果を出力する検知手段実施部と、
前記検知結果および予め定められた判定条件に基づいて、サイバー攻撃を受けているか否かを判定するサイバー攻撃判定部とを備えたことを特徴とするサイバー攻撃検知装置。 - 前記次の攻撃対象と予測された前記構成要素と連携関係がある構成要素がある場合に、前記連携関係がある構成要素に対して前記検知手段を実施して得た結果を前記検知結果に含める請求項1に記載のサイバー攻撃検知装置。
- 前記構成管理データベースは、それぞれの前記構成要素の情報として、前記先行攻撃情報と照合可能な情報を保存し、前記次攻撃対象予測部は、前記先行攻撃情報と前記照合可能な情報とを照合することにより前記次の攻撃対象を予測する請求項1または2に記載のサイバー攻撃検知装置。
- 前記検知手段リストは、前記検知手段の優先順位を示す優先順位情報を有し、前記検知手段実施部が前記優先順位にしたがって前記検知手段を実施するとともに、1つの前記検知手段の実施が完了する都度、前記サイバー攻撃判定部による前記判定を行い、前記判定の結果が出た時点で前記検知手段の実施を終了させる請求項1から3のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段選択条件は、予め定められた特定の前記検知手段を指定し、前記検知手段実施部は、前記特定の検知手段のみ実施する請求項1から4のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段は、それぞれに重みが予め設定され、前記サイバー攻撃判定部は、前記構成要素に対する攻撃または前記構成要素に発生している異常を検知した前記検知手段の前記重みが前記判定条件により定められた閾値を上回った場合に、サイバー攻撃を受けていると判定する請求項1から5のいずれか1項に記載のサイバー攻撃検知装置。
- 前記サイバー攻撃判定部は、前記構成要素に対する攻撃または前記構成要素に発生している異常を検知した前記検知手段の数が前記判定条件により定められた閾値を上回った場合に、サイバー攻撃を受けていると判定する請求項1から5のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段実施部は、予め定められた刻み時間で前記検知手段を継続的に実施する請求項1から7のいずれか1項に記載のサイバー攻撃検知装置。
- 前記検知手段実施部は、前記構成要素に対する攻撃または前記構成要素に発生している異常を、前記先行攻撃情報に含まれる検知時刻から予め定められた遡り時間だけ遡った時刻と前記検知時刻との間の期間において検知していたかを確認する請求項1から8のいずれか1項に記載のサイバー攻撃検知装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019046668A JP7202932B2 (ja) | 2019-03-14 | 2019-03-14 | サイバー攻撃検知装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019046668A JP7202932B2 (ja) | 2019-03-14 | 2019-03-14 | サイバー攻撃検知装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020149390A JP2020149390A (ja) | 2020-09-17 |
JP7202932B2 true JP7202932B2 (ja) | 2023-01-12 |
Family
ID=72430587
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019046668A Active JP7202932B2 (ja) | 2019-03-14 | 2019-03-14 | サイバー攻撃検知装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7202932B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112788034B (zh) * | 2021-01-13 | 2023-04-07 | 泰康保险集团股份有限公司 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
TWI801293B (zh) * | 2022-07-21 | 2023-05-01 | 中華電信股份有限公司 | 用於監控端點設備的系統及其方法 |
WO2024053613A1 (ja) * | 2022-09-06 | 2024-03-14 | パナソニックIpマネジメント株式会社 | アラート対応通知方法、アラート対応通知装置、及び、プログラム |
JP7427146B1 (ja) | 2023-06-27 | 2024-02-02 | 三菱電機株式会社 | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010152773A (ja) | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
WO2014112185A1 (ja) | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
JP2016184358A (ja) | 2015-03-26 | 2016-10-20 | 株式会社日立システムズ | データ分析システム |
WO2017099062A1 (ja) | 2015-12-09 | 2017-06-15 | 日本電気株式会社 | 診断装置、診断方法、及び、診断プログラムが記録された記録媒体 |
JP2017142744A (ja) | 2016-02-12 | 2017-08-17 | 日本電気株式会社 | 情報処理装置、ウィルス検出方法及びプログラム |
JP2018169643A (ja) | 2017-03-29 | 2018-11-01 | 株式会社日立製作所 | セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 |
-
2019
- 2019-03-14 JP JP2019046668A patent/JP7202932B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010152773A (ja) | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
WO2014112185A1 (ja) | 2013-01-21 | 2014-07-24 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
JP2016184358A (ja) | 2015-03-26 | 2016-10-20 | 株式会社日立システムズ | データ分析システム |
WO2017099062A1 (ja) | 2015-12-09 | 2017-06-15 | 日本電気株式会社 | 診断装置、診断方法、及び、診断プログラムが記録された記録媒体 |
JP2017142744A (ja) | 2016-02-12 | 2017-08-17 | 日本電気株式会社 | 情報処理装置、ウィルス検出方法及びプログラム |
JP2018169643A (ja) | 2017-03-29 | 2018-11-01 | 株式会社日立製作所 | セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2020149390A (ja) | 2020-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7202932B2 (ja) | サイバー攻撃検知装置 | |
CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
US10078317B2 (en) | Method, device and computer program for monitoring an industrial control system | |
EP2953298B1 (en) | Log analysis device, information processing method and program | |
US8850582B2 (en) | Security monitoring system and security monitoring method | |
JP4523480B2 (ja) | ログ分析システム、分析方法及びログ分析装置 | |
NL2002694C2 (en) | Method and system for alert classification in a computer network. | |
US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
US20050262237A1 (en) | Dynamic incident tracking and investigation in service monitors | |
CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
Black et al. | Cyber security metrics and measures | |
CN113660115A (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
KR101174635B1 (ko) | 자동화된 악성코드 긴급대응 시스템 및 방법 | |
JP5503177B2 (ja) | 障害情報収集装置 | |
CN106899977B (zh) | 异常流量检验方法和装置 | |
JP6921776B2 (ja) | インシデント検知システムおよびその方法 | |
CN115174189A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
JP6330280B2 (ja) | アラート出力装置、アラート出力方法、及び、アラート出力プログラム | |
Fessi et al. | Data collection for information security system | |
US20240086539A1 (en) | Host Level Data Analytics for Cyberattack Detection | |
CN113110980A (zh) | 暴力破解行为的识别与拦截方法及装置 | |
US11818028B2 (en) | Network diagnostic sampling in a distributed computing environment | |
US20230097020A1 (en) | Network safety rules in a distributed computing environment | |
García-Teodoro et al. | Automatic signature generation for network services through selective extraction of anomalous contents |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211129 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20211129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220824 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220913 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221226 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7202932 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |