JP7311354B2 - ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム - Google Patents
ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム Download PDFInfo
- Publication number
- JP7311354B2 JP7311354B2 JP2019150912A JP2019150912A JP7311354B2 JP 7311354 B2 JP7311354 B2 JP 7311354B2 JP 2019150912 A JP2019150912 A JP 2019150912A JP 2019150912 A JP2019150912 A JP 2019150912A JP 7311354 B2 JP7311354 B2 JP 7311354B2
- Authority
- JP
- Japan
- Prior art keywords
- darknet
- traffic
- organization
- honeypot
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
相関スコア=M/N・・・(1)
ここで、Nは、対象観測地点において、過去(例えば、過去の所定の期間(例えば1年)以内)に検出された宛先port/プロトコルのユニーク値(重複を排除した値)の数であり、Mは、自組織内で過去(例えば、過去の所定の期間(例えば1年)以内)に検出された宛先port/プロトコルのユニーク値と、対象観測地点で過去に検出された宛先port/プロトコルのユニーク値とで共通する宛先port/プロトコルのユニーク値の数である。
Claims (9)
- プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、
前記プロセッサ部は、
ネットワークにおけるダークネットトラフィックの増加点を検出し、
検出された増加点に対応するダークネットトラフィックに関して、
ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
送信元IPアドレスがブラックリストに存在すること、
脅威インテリジェンスに攻撃情報として存在すること、
アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
前記ログが存在するハニーポットが自組織内のハニーポットであること、
前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記相関スコアが閾値以上であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出し、
前記増加点に対応するダークネットトラフィックの観測地点における過去の対象の種類の数に対する、当該観測地点と前記自組織内とで共通する対象の種類の数に基づいて、前記相関スコアを算出する
ネットワーク監視装置。 - プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、
前記プロセッサ部は、
ネットワークにおけるダークネットトラフィックの増加点を検出し、
検出された増加点に対応するダークネットトラフィックに関して、
ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
送信元IPアドレスがブラックリストに存在すること、
脅威インテリジェンスに攻撃情報として存在すること、
アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
前記ログが存在するハニーポットが自組織内のハニーポットであること、
前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記ダークネットトラフィックが前記自組織内での検知であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する
ネットワーク監視装置。 - プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、
前記プロセッサ部は、
ネットワークにおけるダークネットトラフィックの増加点を検出し、
検出された増加点に対応するダークネットトラフィックに関して、
ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
送信元IPアドレスがブラックリストに存在すること、
脅威インテリジェンスに攻撃情報として存在すること、
アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
前記ログが存在するハニーポットが自組織内のハニーポットであること、
前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
対象となる脆弱性を持つ製品が自組織内に存在すること、の内の脆弱性のCVSSスコアが閾値以上であること及び脆弱性を持つ製品が自組織内に存在することを含む複数の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する
ネットワーク監視装置。 - 前記プロセッサ部は、
算出した前記評価値を表示させる
請求項1に記載のネットワーク監視装置。 - 前記プロセッサ部は、
前記評価値の内訳を示す情報を表示させる
請求項4に記載のネットワーク監視装置。 - 前記プロセッサ部は、
前記ダークネットトラフィックの送信元の情報を表示させる
請求項4に記載のネットワーク監視装置。 - 前記プロセッサ部は、
複数の前記条件の全てに基づいて前記評価値を算出する
請求項1に記載のネットワーク監視装置。 - ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置によるネットワーク監視方法であって、
ネットワークにおけるダークネットトラフィックの増加点を検出し、
検出された増加点に対応するダークネットトラフィックに関して、
ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
送信元IPアドレスがブラックリストに存在すること、
脅威インテリジェンスに攻撃情報として存在すること、
アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
前記ログが存在するハニーポットが自組織内のハニーポットであること、
前記ダークネットトラフィックの攻撃対象についての脆弱性のCVSSスコアが閾値以上であること、
対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記相関スコアが閾値以上であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出し、
前記増加点に対応するダークネットトラフィックの観測地点における過去の対象の種類の数に対する、当該観測地点と前記自組織内とで共通する対象の種類の数に基づいて、前記相関スコアを算出する
ネットワーク監視方法。 - プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視する計算機に実行させるネットワーク監視プログラムであって、
前記計算機に、
ネットワークにおけるダークネットトラフィックの増加点を検出させ、
検出された増加点に対応するダークネットトラフィックに関して、
ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
送信元IPアドレスがブラックリストに存在すること、
脅威インテリジェンスに攻撃情報として存在すること、
アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
前記ログが存在するハニーポットが自組織内のハニーポットであること、
前記ダークネットトラフィックの対象についての脆弱性のCVSSスコアが閾値以上であること、
対象となる脆弱性を持つ製品が自組織内に存在すること、の内の前記相関スコアが閾値以上であることを含む1つ以上の条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出させ、
前記増加点に対応するダークネットトラフィックの観測地点における過去の対象の種類の数に対する、当該観測地点と前記自組織内とで共通する対象の種類の数に基づいて、前記相関スコアを算出させる
ネットワーク監視プログラム。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019150912A JP7311354B2 (ja) | 2019-08-21 | 2019-08-21 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
EP20855709.0A EP4020906A4 (en) | 2019-08-21 | 2020-07-28 | NETWORK MONITORING DEVICE, NETWORK MONITORING METHOD, AND STORAGE MEDIUM ON WHICH NETWORK MONITORING PROGRAM IS STORED |
PCT/JP2020/028939 WO2021033506A1 (ja) | 2019-08-21 | 2020-07-28 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体 |
US17/631,126 US20220279008A1 (en) | 2019-08-21 | 2020-07-28 | Network monitoring device, network monitoring method, and storage medium having recorded thereon network monitoring program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019150912A JP7311354B2 (ja) | 2019-08-21 | 2019-08-21 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021034807A JP2021034807A (ja) | 2021-03-01 |
JP7311354B2 true JP7311354B2 (ja) | 2023-07-19 |
Family
ID=74660797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019150912A Active JP7311354B2 (ja) | 2019-08-21 | 2019-08-21 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220279008A1 (ja) |
EP (1) | EP4020906A4 (ja) |
JP (1) | JP7311354B2 (ja) |
WO (1) | WO2021033506A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210344690A1 (en) * | 2020-05-01 | 2021-11-04 | Amazon Technologies, Inc. | Distributed threat sensor analysis and correlation |
KR20230095351A (ko) | 2021-12-22 | 2023-06-29 | 남서울대학교 산학협력단 | 보안 이벤트를 스케줄링하는 장치, 방법 및 컴퓨터 프로그램 |
CN114491533A (zh) * | 2022-01-24 | 2022-05-13 | 烽台科技(北京)有限公司 | 数据处理方法、装置、服务器及存储介质 |
CN114598512B (zh) * | 2022-02-24 | 2024-02-06 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180083988A1 (en) | 2016-09-19 | 2018-03-22 | Ntt Innovation Institute, Inc. | Threat scoring system and method |
US20180191765A1 (en) | 2017-01-03 | 2018-07-05 | Korea Internet & Security Agency | Method and apparatus for calculating risk of cyber attack |
WO2018143097A1 (ja) | 2017-01-31 | 2018-08-09 | 日本電信電話株式会社 | 判定装置、判定方法、および、判定プログラム |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7644026B2 (en) * | 2006-10-25 | 2010-01-05 | Hewlett-Packard Development Company, L.P. | Ranking systems based on a risk |
WO2009041686A1 (ja) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
US8413238B1 (en) * | 2008-07-21 | 2013-04-02 | Zscaler, Inc. | Monitoring darknet access to identify malicious activity |
US9489497B2 (en) * | 2012-12-28 | 2016-11-08 | Equifax, Inc. | Systems and methods for network risk reduction |
US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
US10425432B1 (en) * | 2016-06-24 | 2019-09-24 | EMC IP Holding Company LLC | Methods and apparatus for detecting suspicious network activity |
US10372915B2 (en) * | 2016-07-29 | 2019-08-06 | Jpmorgan Chase Bank, N.A. | Cybersecurity vulnerability management systems and method |
AU2018269049A1 (en) * | 2017-05-18 | 2019-11-21 | Expanse, Inc. | Correlation-driven threat assessment and remediation |
JP7005936B2 (ja) | 2017-05-19 | 2022-02-10 | 富士通株式会社 | 評価プログラム、評価方法および情報処理装置 |
JP6977625B2 (ja) * | 2018-03-07 | 2021-12-08 | 富士通株式会社 | 評価プログラム、評価方法および評価装置 |
-
2019
- 2019-08-21 JP JP2019150912A patent/JP7311354B2/ja active Active
-
2020
- 2020-07-28 US US17/631,126 patent/US20220279008A1/en active Pending
- 2020-07-28 EP EP20855709.0A patent/EP4020906A4/en active Pending
- 2020-07-28 WO PCT/JP2020/028939 patent/WO2021033506A1/ja unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180083988A1 (en) | 2016-09-19 | 2018-03-22 | Ntt Innovation Institute, Inc. | Threat scoring system and method |
US20180191765A1 (en) | 2017-01-03 | 2018-07-05 | Korea Internet & Security Agency | Method and apparatus for calculating risk of cyber attack |
WO2018143097A1 (ja) | 2017-01-31 | 2018-08-09 | 日本電信電話株式会社 | 判定装置、判定方法、および、判定プログラム |
Non-Patent Citations (1)
Title |
---|
秋吉 亮, 小谷 大祐, 岡部 寿男,低対話型ハニーポットとダークネットの関連付けによる新たなスキャン活動の検知手法の検討 Investigation,電子情報通信学会技術研究報告 Vol.117 No.294,日本,一般社団法人電子情報通信学会,2017年12月11日,p.13~18 |
Also Published As
Publication number | Publication date |
---|---|
EP4020906A1 (en) | 2022-06-29 |
WO2021033506A1 (ja) | 2021-02-25 |
US20220279008A1 (en) | 2022-09-01 |
EP4020906A4 (en) | 2023-09-06 |
JP2021034807A (ja) | 2021-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7311354B2 (ja) | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム | |
US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
US10270803B2 (en) | Method and apparatus for detecting malware infection | |
EP2953298B1 (en) | Log analysis device, information processing method and program | |
EP3192232B1 (en) | Dynamic quantification of cyber-security risks in a control system | |
US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
US8312536B2 (en) | Hygiene-based computer security | |
US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
EP3068095B1 (en) | Monitoring apparatus and method | |
US11057411B2 (en) | Log analysis device, log analysis method, and log analysis program | |
US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
JP2004318552A (ja) | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
JP7204247B2 (ja) | 脅威対応自動化方法 | |
JP6407184B2 (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
JP6106861B1 (ja) | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム | |
KR20130116418A (ko) | Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
CN114172707B (zh) | Fast-Flux僵尸网络检测方法、装置、设备及存储介质 | |
CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
CN110830518B (zh) | 溯源分析方法、装置、电子设备及存储介质 | |
EP3964988A1 (en) | Sensing device, sensing method, and sensing program | |
Priya et al. | Network Attack Detection using Machine Learning | |
CN114024736A (zh) | 威胁源关联性识别处理方法、装置及电子设备、存储介质 | |
Vetrivel et al. | Birds of a Feather? A Comparative Analysis of DDoS Victimisation by IoT Botnet and Amplification Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220328 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230303 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230620 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230706 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7311354 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |