JPWO2019117052A1 - 情報処理装置、情報処理システム、情報処理方法、及び、プログラム - Google Patents
情報処理装置、情報処理システム、情報処理方法、及び、プログラム Download PDFInfo
- Publication number
- JPWO2019117052A1 JPWO2019117052A1 JP2019559611A JP2019559611A JPWO2019117052A1 JP WO2019117052 A1 JPWO2019117052 A1 JP WO2019117052A1 JP 2019559611 A JP2019559611 A JP 2019559611A JP 2019559611 A JP2019559611 A JP 2019559611A JP WO2019117052 A1 JPWO2019117052 A1 JP WO2019117052A1
- Authority
- JP
- Japan
- Prior art keywords
- data
- source
- policy
- information processing
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 185
- 238000003672 processing method Methods 0.000 title claims description 3
- 238000004891 communication Methods 0.000 claims abstract description 217
- 230000002776 aggregation Effects 0.000 claims abstract description 120
- 238000004220 aggregation Methods 0.000 claims abstract description 120
- 238000000605 extraction Methods 0.000 claims abstract description 118
- 238000013075 data extraction Methods 0.000 claims abstract description 115
- 230000005540 biological transmission Effects 0.000 claims abstract description 91
- 238000012545 processing Methods 0.000 claims abstract description 59
- 239000000284 extract Substances 0.000 claims abstract description 54
- 230000004931 aggregating effect Effects 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 22
- 238000010586 diagram Methods 0.000 description 22
- 230000000694 effects Effects 0.000 description 9
- 230000008520 organization Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000007774 longterm Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2135—Metering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
Description
まず、本発明に関連する技術を説明する。
以下、図面を参照して、本発明における第1の実施形態に係る情報処理装置10について説明する。
まず、図面を参照して、第1の実施形態に係る情報処理装置10の構成について、説明する。
次に、第1の実施形態に係る情報処理装置10の動作について、図面を参照して説明する。
このように、第1の実施形態に係る情報処理装置10は、不正な侵入を必要とせずに、不審な通信を検知するための情報(例えば、通信の送信元)を得るとの効果を奏することができる。
情報処理装置10が抽出した送信元を用いて通信データを選択すると、選択後の通信データは、所定の方針に基づいて抽出された送信元に関連する通信データである。
まず、第2の実施形態に係る情報処理装置11の構成について、図面を参照して説明する。
次に、図面を参照して、第2の実施形態に係る情報処理装置11の動作について説明する。
まず、データ抽出部111は、通信データ全体を、抽出対象とする(ステップS240)。
データ抽出部111は、送信元(例えば、送信元「A」)を用いて通信データから抽出対象の通信データを選択する(ステップS250)。なお、送信元抽出部131が、抽出した送信元を用いて通信データを選択している場合、データ抽出部111は、そのデータを用いてもよい。
このように、第2の実施形態に係る情報処理装置11は、第1の実施形態の効果に加え、さらに送信元を限定するとの効果を得ることができる。
次に、図面を参照して、情報処理装置10及び情報処理装置11の概要を説明する。
情報処理装置10、11、及び12にハードウェア構成について、情報処理装置10を用いて説明する。
次に、図面を参照して、情報処理装置10を含む情報処理システム50について説明する。
11 情報処理装置
12 情報処理装置
20 指示装置
30 表示装置
40 ファイアウォール
50 情報処理システム
60 情報処理装置
70 外部記憶装置
90 外部ネットワーク
110 データ抽出部
111 データ抽出部
120 集計部
121 集計部
130 送信元抽出部
131 送信元抽出部
140 記憶部
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記憶媒体
Claims (9)
- 送信元に関連する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出するデータ抽出手段と、
前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関連する前記第1の頻度を集計する集計手段と、
前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出する送信元抽出手段と
を含む情報処理装置。 - 前記第1のデータ抽出方針が、少なくとも前記通信データにおける前記送信元及び通信時間を含み、
前記第1の集計方針が、少なくとも集計に関連する期間及び集計対象とする前記第1の処理データに含まれるデータを含み、
前記第1の送信元抽出方針が、抽出対象となる前記送信元に関する前記第1の頻度の閾値又は範囲を含む
請求項1に記載の情報処理装置。 - 前記データ抽出手段が、
前記通信データに含まれるデータの中で前記第1の処理データに含まれないデータを少なくとも一つ含み、前記送信元に関連する頻度を算出するための第2の処理データを抽出するための方針である第2のデータ方針に基づいて、前記送信元抽出手段が抽出した前記送信元を含む前記通信データから前記第2の処理データを抽出し、
前記集計手段が、
前記第2の処理データにおける前記送信元に関連する第2の頻度を集計するための方針である第2の集計方針に基づいて、前記第2の処理データにおける前記送信元に関連する第2の頻度を集計し、
前記送信元抽出手段が、
前記送信元を抽出するための方針である第2の送信元抽出方針と前記第2の頻度とに基づいて前記送信元を抽出する
請求項1又は2に記載の情報処理装置。 - 前記データ抽出手段が、
前記通信データに含まれるデータの中で前記第1の処理データに含まれない少なくとも一つのデータを含み、前記送信元に関連する頻度を算出するための第2の処理データを抽出するための方針である第2のデータ方針に基づいて、前記送信元抽出手段が抽出した前記送信元を含む前記通信データから前記第2の処理データを抽出し、
前記送信元抽出手段が、
前記第2の処理データから前記送信元を抽出するための方針である第2の送信元抽出方針と前記第2の処理データとに基づいて、前記送信元を抽出する
請求項1又は2に記載の情報処理装置。 - 前記第1のデータ抽出方針が、さらに、前記通信データにおける宛先を含み、
前記第1の集計方針が、前記第1の頻度として、前記送信元と前記宛先との組合せに関連する頻度を含む
請求項1ないし4のいずれか1項に記載の情報処理装置。 - 前記第1のデータ抽出方針が、さらに、前記通信データにおける宛先を含み、
前記第2の送信元抽出方針が、
前記送信元に応答した前記宛先に対して所定の送信を実行する前記送信元を抽出する方針を含む
請求項3又は4に記載の情報処理装置。 - 請求項1ないし6のいずれか1項に記載の情報処理装置と、
前記第1のデータ抽出方針、前記第1の集計方針、及び前記第1の送信元抽出方針の少なくとの一つを前記情報処理装置に指示する指示装置と、
前記情報処理装置が抽出した前記送信元を受信して表示する表示装置と、
前記情報処理装置から受信した前記送信元に関する通信を阻止するファイアウォールと を含む情報処理システム。 - 送信元に関連する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出し、
前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関連する前記第1の頻度を集計し、
前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出する
情報処理方法。 - 送信元に関連する第1の頻度の集計に用いる第1の処理データを通信データから抽出するための方針である第1のデータ抽出方針に基づいて、前記通信データから前記第1の処理データを抽出処理と、
前記第1の処理データにおける前記送信元に関する前記第1の頻度を集計するための方針である第1の集計方針に基づいて、前記第1の処理データにおける前記送信元に関連する前記第1の頻度を集計する処理と、
前記送信元を抽出するための方針である第1の送信元抽出方針と前記第1の頻度とに基づいて、前記送信元を抽出する処理と
をコンピュータに実行させるプログラムを記録する記録媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017238516 | 2017-12-13 | ||
JP2017238516 | 2017-12-13 | ||
PCT/JP2018/045202 WO2019117052A1 (ja) | 2017-12-13 | 2018-12-10 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019117052A1 true JPWO2019117052A1 (ja) | 2020-11-19 |
JP7006704B2 JP7006704B2 (ja) | 2022-01-24 |
Family
ID=66820261
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019559611A Active JP7006704B2 (ja) | 2017-12-13 | 2018-12-10 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11461463B2 (ja) |
EP (1) | EP3726817B1 (ja) |
JP (1) | JP7006704B2 (ja) |
WO (1) | WO2019117052A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
WO2015141630A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム |
JP2015198301A (ja) * | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1214567C (zh) | 1998-11-24 | 2005-08-10 | 尼克桑公司 | 用于采集和分析通信数据的装置及方法 |
JP2008085819A (ja) | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
JP2009171431A (ja) | 2008-01-18 | 2009-07-30 | Oki Electric Ind Co Ltd | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
JP4983671B2 (ja) | 2008-03-19 | 2012-07-25 | 沖電気工業株式会社 | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
US8776226B2 (en) * | 2010-01-26 | 2014-07-08 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting SSH login attacks |
-
2018
- 2018-12-10 WO PCT/JP2018/045202 patent/WO2019117052A1/ja unknown
- 2018-12-10 JP JP2019559611A patent/JP7006704B2/ja active Active
- 2018-12-10 US US16/765,711 patent/US11461463B2/en active Active
- 2018-12-10 EP EP18888685.7A patent/EP3726817B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
WO2015141630A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム |
JP2015198301A (ja) * | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
Non-Patent Citations (1)
Title |
---|
鮫島 礼佳、他4名: "長期間の観測データを用いたサイバー攻撃と推定される通信を分析する手法の提案", 2018年 暗号と情報セキュリティシンポジウム(SCIS2018)予稿集, JPN6021047761, 26 January 2018 (2018-01-26), pages 1 - 7, ISSN: 0004657182 * |
Also Published As
Publication number | Publication date |
---|---|
WO2019117052A1 (ja) | 2019-06-20 |
JP7006704B2 (ja) | 2022-01-24 |
EP3726817B1 (en) | 2024-02-07 |
EP3726817A1 (en) | 2020-10-21 |
US20200302055A1 (en) | 2020-09-24 |
EP3726817A4 (en) | 2020-10-28 |
US11461463B2 (en) | 2022-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
US10530796B2 (en) | Graph database analysis for network anomaly detection systems | |
EP3349414B1 (en) | Malicious tunneling handling system | |
US8079081B1 (en) | Systems and methods for automated log event normalization using three-staged regular expressions | |
TWI627553B (zh) | 於專用電腦網路上對進階持續性威脅攻擊之偵測 | |
EP1682990B1 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
EP2633646B1 (en) | Methods and systems for detecting suspected data leakage using traffic samples | |
CN107465648B (zh) | 异常设备的识别方法及装置 | |
US9817969B2 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
US20190132353A1 (en) | Service overload attack protection based on selective packet transmission | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
US20090013407A1 (en) | Intrusion detection system/intrusion prevention system with enhanced performance | |
US10951649B2 (en) | Statistical automatic detection of malicious packets in DDoS attacks using an encoding scheme associated with payload content | |
Sammour et al. | Dns tunneling: a review on features | |
EP4293550A1 (en) | Traffic processing method and protection system | |
JP7031667B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
JP2017117224A (ja) | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム | |
US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
JP7006704B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
JP5926413B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6145588B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5992643B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6088700B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
Cheoin-Gu | Scenario-based Log Dataset for Combating the Insider Threat | |
Yoo et al. | Web Login Vulnerability Analysis and Countermeasures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200519 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200519 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210615 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210721 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211022 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211220 |