JPWO2016208158A1 - 情報処理装置、情報処理システム、情報処理方法、及び、プログラム - Google Patents
情報処理装置、情報処理システム、情報処理方法、及び、プログラム Download PDFInfo
- Publication number
- JPWO2016208158A1 JPWO2016208158A1 JP2017524621A JP2017524621A JPWO2016208158A1 JP WO2016208158 A1 JPWO2016208158 A1 JP WO2016208158A1 JP 2017524621 A JP2017524621 A JP 2017524621A JP 2017524621 A JP2017524621 A JP 2017524621A JP WO2016208158 A1 JPWO2016208158 A1 JP WO2016208158A1
- Authority
- JP
- Japan
- Prior art keywords
- alert
- rule
- information
- classification
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 159
- 238000003672 processing method Methods 0.000 title claims description 7
- 238000001514 detection method Methods 0.000 claims abstract description 90
- 238000004891 communication Methods 0.000 claims abstract description 76
- 238000007621 cluster analysis Methods 0.000 claims abstract description 71
- 239000000284 extract Substances 0.000 claims abstract description 11
- 238000003860 storage Methods 0.000 claims description 86
- 238000000034 method Methods 0.000 claims description 27
- 230000008569 process Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 description 44
- 238000010586 diagram Methods 0.000 description 29
- 230000006978 adaptation Effects 0.000 description 16
- 230000000694 effects Effects 0.000 description 15
- 238000012806 monitoring device Methods 0.000 description 14
- 230000008859 change Effects 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000005065 mining Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 229920006395 saturated elastomer Polymers 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000012937 correction Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Environmental & Geological Engineering (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明の一形態におけるデータ処理方法は、アラートに含まれる通信された情報である通信情報を基づいてアラートを分類した結果であるクラスタを示すクラスタ識別子を決定し、アラートが正検知であるか誤検知であるかの分類である分類結果を受信し、アラートとクラスタ識別子と分類結果とを含む情報であるアラート情報を生成し、アラート情報において、アラート情報に含まれる情報の組合せで、少なくともクラスタ識別子を含むパターンの出現回数を算出し、所定の閾値より出現回数が多いパターンである頻出パターンを抽出し、抽出した頻出パターンを基にアラートに関連付けられた分類結果の設定又は更新に用いられる分類ルールを生成し、過去に生成した古い分類ルールを新たに生成した分類ルールで更新し、分類ルールに基にアラート情報に含まれる分類結果を設定又は更新する。
まず、本発明における第1の実施形態の構成ついて説明する。
図1は、本発明における第1の実施形態に係る情報処理装置20を含む情報処理システム10の構成の一例を示すブロック図である。
次に、図面を参照して本実施形態に係る情報処理装置20の動作について説明する。
次に、本実施形態の効果について説明する。
次に、第2の実施形態に係る情報処理装置60について図面を参照して説明する。
本実施形態に係る情報処理装置60は、第1の実施形態の効果に加え、より適切に利用可能な分類ルール550を生成するとの効果を奏することができる。
次に、第3の実施形態に係る情報処理装置80について図面を参照して説明する。
次に、本実施形態の効果について説明する。
以上の説明した情報処理装置20、情報処理装置60、及び、情報処理装置80(以下、まとめて、情報処理装置20として説明する)は、次のように構成される。
11 情報処理システム
12 情報処理システム
20 情報処理装置
21 クラスタ解析部
22 ルール生成部
23 ルール適用部
24 アラート情報記憶部
25 ルール記憶部
26 ルール生成部
27 ルール適用部
28 ルール記憶部
29 ルール生成部
30 提示装置
31 アラート表示部
32 入力部
33 ルール表示部
34 ルール承認部
40 ネットワーク
50 監視装置
60 情報処理装置
70 提示装置
80 情報処理装置
90 情報処理装置
400 アラート情報
401 検知時刻
402 送信元IPアドレス
403 送信元ポート番号
404 送信先IPアドレス
405 送信先ポート番号
406 検知ルール識別子
407 クラスタ識別子
408 分類結果
409 通信情報
500 分類ルール
501 条件部
502 送信元IPアドレス
503 送信元ポート番号
504 送信先IPアドレス
505 送信先ポート番号
506 検知ルール識別子
507 クラスタ識別子
508 分類結果
509 分類動作部
510 有効フラグ
550 分類ルール
600 頻出パターン集合
601 頻出パターン
602 送信元IPアドレス
603 送信元ポート番号
604 送信先IPアドレス
605 送信先ポート番号
606 検知ルール識別子
607 クラスタ識別子
608 分類結果
609 出現回数
610 詳細度
700 情報処理装置
710 CPU
720 ROM
730 RAM
740 内部記憶装置
750 IOC
760 入力機器
770 表示機器
780 NIC
790 記憶媒体
Claims (10)
- アラートに含まれる通信された情報である通信情報を基づいて前記アラートを分類した結果であるクラスタを示すクラスタ識別子を決定し、前記アラートが正検知であるか誤検知であるかの分類である分類結果を受信し、前記アラートと前記クラスタ識別子と前記分類結果とを含む情報であるアラート情報を生成するクラスタ解析手段と、
前記アラート情報において、前記アラート情報に含まれる情報の組合せで、少なくとも前記クラスタ識別子を含むパターンの出現回数を算出し、所定の閾値より出現回数が多いパターンである頻出パターンを抽出し、抽出した前記頻出パターンを基に前記アラートに関連付けられた前記分類結果の設定又は更新に用いられる分類ルールを生成し、過去に生成した古い分類ルールを新たに生成した分類ルールで更新するルール生成手段と、
前記分類ルールに基に前記アラート情報に含まれる前記分類結果を設定又は更新するルール適用手段と
を含む情報処理装置。 - 前記クラスタ解析手段が、
前記通信情報の類似度を基に前記クラスタ識別子を決定する
請求項1に記載の情報処理装置。 - 前記ルール生成手段が、
前記頻出パターンにおいて前記頻出パターンに含まれる前記分類結果が同一となっている前記頻出パターンを基に前記分類ルールを生成する
請求項1又は2に記載の情報処理装置。 - 前記ルール生成手段が、
前記頻出パターンに対する前記アラートの適用範囲の狭さの程度である詳細度を算出し、所定の閾値より大きな前記詳細度を持つ前記頻出パターンに対する前記分類ルールを生成する
請求項1ないし3のいずれか1項に記載の情報処理装置。 - 前記分類ルールが、さらに、
その前記分類ルールが有効であるか否かを示す有効フラグを含み、
前記ルール生成手段が、
過去に生成した古い前記分類ルールを新たに生成した前記分類ルールで更新する際に、前記有効フラグが無効となっている前記分類ルールを削除し、前記有効フラグが有効となっている前記分類ルールを削除せずに更新し、
前記ルール適用手段が、
前記有効フラグが有効となっている前記分類ルールを基に前記アラートに関連付けられた前記分類結果を設定又は更新する
請求項1ないし4のいずれか1項に記載の情報処理装置。 - 前記アラート情報が、さらに、
前記アラートが検知された検知時刻を含み、
前記ルール生成手段が、
前記頻出パターンと適合する前記アラート情報の検知時刻を基に、前記分類ルールに生成に用いる前記頻出パターンを選択する
請求項1ないし5のいずれか1項に記載の情報処理装置。 - 請求項1ないし6のいずれか1項に記載の情報処理装置と、
前記情報処理装置から前記アラート情報を受信し、受信した前記アラート情報を表示するアラート表示手段と、
表示された前記アラート情報に対する前記分類結果の入力を受信し、受信した前記入力を前記情報処理装置に送信する入力手段と
を含む提示装置と
を含む情報処理システム。 - 前記提示装置が、さらに、
前記情報処理装置から前記分類ルールを受信し、受信した前記分類ルールを表示するルール表示手段と、
表示された前記分類ルールに対する有効又は無効である指示を受信し、受信した前記指示を前記情報処理装置に送信するルール承認手段と
を含む請求項7に記載の情報処理システム。 - アラートに含まれる通信された情報である通信情報を基づいて前記アラートを分類した結果であるクラスタを示すクラスタ識別子を決定し、
前記アラートが正検知であるか誤検知であるかの分類である分類結果を受信し、
前記アラートと前記クラスタ識別子と前記分類結果とを含む情報であるアラート情報を生成し、
前記アラート情報において、前記アラート情報に含まれる情報の組合せで、少なくとも前記クラスタ識別子を含むパターンの出現回数を算出し、
所定の閾値より出現回数が多いパターンである頻出パターンを抽出し、
前記抽出した頻出パターンを基に前記アラートに関連付けられた前記分類結果の設定又は更新に用いられる分類ルールを生成し、
過去に生成した古い分類ルールを新たに生成した分類ルールで更新し、
前記分類ルールに基に前記アラート情報に含まれる前記分類結果を設定又は更新する
情報処理方法。 - アラートに含まれる通信された情報である通信情報を基づいて前記アラートを分類した結果であるクラスタを示すクラスタ識別子を決定する処理と、
前記アラートが正検知であるか誤検知であるかの分類である分類結果を受信する処理と、
前記アラートと前記クラスタ識別子と前記分類結果とを含む情報であるアラート情報を生成する処理と、
前記アラート情報において、前記アラート情報に含まれる情報の組合せで、少なくとも前記クラスタ識別子を含むパターンの出現回数を算出する処理と、
所定の閾値より出現回数が多いパターンである頻出パターンを抽出する処理と、
前記抽出した頻出パターンを基に前記アラートに関連付けられた前記分類結果の設定又は更新に用いられる分類ルールを生成する処理と、
画に生成した古い分類ルールを新たに生成した分類ルールで更新する処理と、
前記分類ルールに基に前記アラート情報に含まれる前記分類結果を設定又は更新する処理と
をコンピュータに実行させるプログラムをコンピュータ読み取り可能に記憶する記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015128769 | 2015-06-26 | ||
JP2015128769 | 2015-06-26 | ||
PCT/JP2016/002894 WO2016208158A1 (ja) | 2015-06-26 | 2016-06-15 | 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016208158A1 true JPWO2016208158A1 (ja) | 2018-04-19 |
JP6690646B2 JP6690646B2 (ja) | 2020-04-28 |
Family
ID=57584995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017524621A Active JP6690646B2 (ja) | 2015-06-26 | 2016-06-15 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10819720B2 (ja) |
JP (1) | JP6690646B2 (ja) |
WO (1) | WO2016208158A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10218562B2 (en) * | 2016-11-09 | 2019-02-26 | Bank Of America Corporation | Parsing and optimizing runtime infrastructure alerts |
CN109286511B (zh) * | 2017-07-19 | 2021-10-08 | 东软集团股份有限公司 | 数据处理的方法及装置 |
US10764295B2 (en) * | 2017-08-08 | 2020-09-01 | International Business Machines Corporation | Monitoring service policy management |
US10715545B2 (en) * | 2017-09-22 | 2020-07-14 | Microsoft Technology Licensing, Llc | Detection and identification of targeted attacks on a computing system |
US10960895B1 (en) | 2017-09-27 | 2021-03-30 | State Farm Mutual Automobile Insurance Company | Automatically tracking driving activity |
TW201926108A (zh) * | 2017-12-04 | 2019-07-01 | 和碩聯合科技股份有限公司 | 網路安全系統及其方法 |
CN113407507B (zh) | 2018-04-23 | 2022-04-29 | 华为技术有限公司 | 告警类型关联规则的生成方法、装置及系统、存储介质 |
CN112506968A (zh) * | 2020-12-10 | 2021-03-16 | 上海连尚网络科技有限公司 | 信息聚合方法、装置、电子设备和计算机可读介质 |
EP4333377A1 (en) * | 2021-06-10 | 2024-03-06 | Nippon Telegraph And Telephone Corporation | Analysis device, analysis method, and analysis program |
CN113452707B (zh) * | 2021-06-28 | 2022-07-22 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
US11838329B1 (en) * | 2021-08-11 | 2023-12-05 | Rapid7, Inc. | Curating actionable intrusion detection system rules |
CN115150160A (zh) * | 2022-06-29 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种网络攻击特征的检测方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0430637A (ja) | 1990-05-23 | 1992-02-03 | Nec Corp | 障害判定方式 |
JPH08227388A (ja) | 1995-02-21 | 1996-09-03 | Mitsubishi Electric Corp | システム分析装置 |
US20130053657A1 (en) * | 2009-09-28 | 2013-02-28 | Illuminare Holdings Ltd. | Intravaginal monitoring device and network |
JP5379177B2 (ja) * | 2011-02-10 | 2013-12-25 | 株式会社日立製作所 | 分散アンテナシステム、基地局装置、無線リソース制御方法 |
-
2016
- 2016-06-15 JP JP2017524621A patent/JP6690646B2/ja active Active
- 2016-06-15 WO PCT/JP2016/002894 patent/WO2016208158A1/ja active Application Filing
- 2016-06-15 US US15/735,256 patent/US10819720B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20180167407A1 (en) | 2018-06-14 |
WO2016208158A1 (ja) | 2016-12-29 |
JP6690646B2 (ja) | 2020-04-28 |
US10819720B2 (en) | 2020-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6690646B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
US11068588B2 (en) | Detecting irregularities on a device | |
EP2933973B1 (en) | Data protection method, apparatus and system | |
JP6753398B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
US11100241B2 (en) | Virtual trap protection of data elements | |
JP2020035424A (ja) | ネットワークへの脅威のインジケータの抽出及び応答 | |
US9185119B1 (en) | Systems and methods for detecting malware using file clustering | |
US20170185785A1 (en) | System, method and apparatus for detecting vulnerabilities in electronic devices | |
US10757029B2 (en) | Network traffic pattern based machine readable instruction identification | |
CN109600362A (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
EP4274160A1 (en) | System and method for machine learning based malware detection | |
JP6800744B2 (ja) | ホワイトリスト作成装置 | |
JP2016525750A (ja) | 合法的オブジェクトの誤用の識別 | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
TW202109303A (zh) | 高效處理海量數據的資料蒐集系統 | |
US12058150B2 (en) | Massive vulnerable surface protection | |
CN115473658A (zh) | 网络攻击检测方法、装置、设备及计算机程序 | |
US20190081988A1 (en) | Security management apparatus, central security management apparatus, security management method, and computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171205 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190515 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200310 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200323 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6690646 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |