JPWO2019181005A1 - 脅威分析システム、脅威分析方法および脅威分析プログラム - Google Patents

脅威分析システム、脅威分析方法および脅威分析プログラム Download PDF

Info

Publication number
JPWO2019181005A1
JPWO2019181005A1 JP2020507306A JP2020507306A JPWO2019181005A1 JP WO2019181005 A1 JPWO2019181005 A1 JP WO2019181005A1 JP 2020507306 A JP2020507306 A JP 2020507306A JP 2020507306 A JP2020507306 A JP 2020507306A JP WO2019181005 A1 JPWO2019181005 A1 JP WO2019181005A1
Authority
JP
Japan
Prior art keywords
threat
log
flag
data
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020507306A
Other languages
English (en)
Inventor
洋平 杉山
洋平 杉山
良夫 柳澤
良夫 柳澤
宏和 賀子
宏和 賀子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019181005A1 publication Critical patent/JPWO2019181005A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Abstract

脅威検知部81は、取得されたログから脅威を表す可能性のあるログを検知する。フラグ化処理部82は、ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知されたログをフラグ化したフラグ化データを生成する。判別部83は、フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別する。出力部84は、そのログが脅威を示すログか否かを示す判別結果を出力する。

Description

本発明は、収集されるログから脅威を分析する脅威分析システム、脅威分析方法および脅威解析プログラムに関する。
昨今のサイバー攻撃の拡大により、SOC(Security Operation Center )/CSIRT(Computer Security Incident Response Team)へのニーズが拡大している。具体的には、SOC/CSIRTは、SIEM(Security Information and Event Management )分析業務において、高度な知見に基づき、脅威の分析および対策を行う。
また、脅威を検知する様々な方法も各種提案されている。例えば、特許文献1には、攻撃検知システムとログ分析システムとを連携させて効率的に攻撃分析を行う攻撃分析システムが記載されている。特許文献1に記載されたシステムは、検知ルールに基づいて、収集されたログからリアルタイムの相関分析を実行する。検知ルールに該当する攻撃を検知すると、特許文献1に記載されたシステムは、次に起こると予測される攻撃を、データベースから検索し、その攻撃が発生すると予測される時期を算出し、予測される時期のログをスケジュール検索する。
国際公開第2014/112185号
一方、特許文献1に記載されたような検知ルールだけでは、全ての脅威を検知することは一般的に困難である。そこで、脅威を検知する精度を向上させるため、このように検知された情報であっても、通常、人手による確認が行われる。しかし、一般に、確認対象のログは大量であり、また、ログには多種多様な形式が存在する。そのため、脅威の可能性のあるログをそのまま調査しようとした場合、検知漏れの可能性が高まってしまい、また、精度が属人的になってしまうという問題がある。さらに、脅威を検知するためには高度な知見も必要であるため、セキュリティ監視者も不足し、運用の負担が増加してしまうという問題もある。
そこで、本発明は、セキュリティ監視者の運用負担を軽減しつつ、脅威を検知する精度を向上できる脅威分析システム、脅威分析方法および脅威分析プログラムを提供することを目的とする。
本発明による脅威分析システムは、取得されたログから脅威を表す可能性のあるログを検知する脅威検知部と、ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知されたログをフラグ化したフラグ化データを生成するフラグ化処理部と、フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別する判別部と、そのログが脅威を示すログか否かを示す判別結果を出力する出力部とを備えたことを特徴とする。
本発明による脅威分析方法は、取得されたログから脅威を表す可能性のあるログを検知し、ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知されたログをフラグ化したフラグ化データを生成し、フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別し、そのログが脅威を示すログか否かを示す判別結果を出力することを特徴とする。
本発明による脅威分析プログラムは、コンピュータに、取得されたログから脅威を表す可能性のあるログを検知する脅威検知処理、ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知されたログをフラグ化したフラグ化データを生成するフラグ化処理、フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別する判別処理、および、そのログが脅威を示すログか否かを示す判別結果を出力する出力処理を実行させることを特徴とする。
本発明によれば、セキュリティ監視者の運用負担を軽減しつつ、脅威を検知する精度を向上できる。
本発明による脅威分析システムの一実施形態の構成例を示すブロック図である。 ログの例を示す説明図である。 フラグ条件の例を示す説明図である。 フラグ化データを生成する処理の例を示す説明図である。 脅威分析システムの動作例を示すフローチャートである。 本発明による脅威分析システムの概要を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。
図1は、本発明による脅威分析システムの一実施形態の構成例を示すブロック図である。本実施形態の脅威分析システム100は、脅威検知部10と、ログ記憶部12と、フラグ条件記憶部14と、フラグ化処理部16と、フラグ化データ記憶部18と、学習部20と、モデル記憶部22と、判別部24と、出力部26とを備えている。
脅威検知部10は、各種センサやサーバなどの機器で取得されたログのうち、予め定められた条件に基づいて、脅威を表す可能性のあるログを検知する。本実施形態においてログの態様は任意である。ログの例として、メールログやWebへのアクセルログなどが挙げられる。
以下の説明では、具体例として、メールログを挙げて説明する。メールログには、例えば、ログを識別可能なログID、送信日時、メールの件名、送信者、受信者、添付ファイル名、添付ファイルサイズが含まれる。これらの内容は、例えば、ログにおける特定の項目(フィールド)に含まれる文字と言うこともできる。例えば、「メールの件名」は、メールログにおいて「件名」フィールドに含まれる文字列と言うこともでき、「送信者」は、メールログにおいて「送信者」フィールに含まれるメールアドレスを意味する文字列と言うこともできる。
また、脅威検知部10が脅威を表す可能性のあるログを検知する方法も任意であり、一般的に知られた方法が用いられる。このようなログを検知する方法として、メールフィルタやプロキシサーバによる検知、所定のパケット監視や、サンドボックスによる検知、などが挙げられる。また、脅威検知部10は、メール受信時に脅威を検知するメールサーバや、認証時の脅威を検知するアクティブディレクトリ(登録商標)サーバで実現されていてもよい。脅威検知部10は、検知したログをログ記憶部12に登録する。
このように、脅威分析システム100が脅威検知部10を備えることで、大量のログの中から脅威を表す可能性のログに絞り込むことができるため、セキュリティ監視者の運用負担を軽減できる。
ログ記憶部12は、ログを表す情報を記憶する。ログ記憶部12は、例えば、脅威検知部10が検知した脅威を表す可能性のあるログを記憶する。他にも、ログ記憶部12は、脅威を表すログか否かを識別する情報(「脅威フラグ」と記すこともある。)をそのログと対応付けて記憶していてもよい。
図2は、ログ記憶部12が記憶するログの例を示す説明図である。図2に例示するログはメールデータであり、各メールデータを識別するログIDとともにメールを受信した日時、メール件名、送信者、受信者が対応付けられていることを示す。また、図2に例示するように、ログには、そのログに含まれる添付ファイル(添付ファイル名)や、添付ファイルのファイルサイズが対応付けられていてもよい。
また、図2では、メールデータがテーブル形式で各フィールドに記憶されている場合を例示したが、ログが記憶される形式はテーブル形式に限定されない。後述するフラグ化処理部16がログの内容を識別できる形式であれば、ログは、例えば、平文のテキストデータなどであってもよい。
フラグ条件記憶部14は、ログのフラグ化(1または0)に用いられる条件(以下、フラグ条件と記す。)を記憶する。具体的には、フラグ条件は、ログが満たす条件に応じて設定されるフラグを規定した条件であり、設定するフラグの種類に応じてそれぞれ定められる。
図3は、フラグ条件記憶部14が記憶する条件の例を示す説明図である。図3に示す例では、項目が満たす条件ごとに異なるフラグを定義していることを示す。例えば、フラグ名=“flag_title_01-01-01 ”で表されるフラグは、項目=“件名”の文字列に、条件で示される“会”と言う文字が含まれるか否かでフラグ化されることを意味する。また、例えば、フラグ名=“flag_sender_01-01 ”で表されるフラグは、項目=“送信者”の文字列に、条件で示される“xxx.xxx.com ”と言う文字が含まれるか否かでフラグ化されることを意味する。
また、他にも、図3に例示するように、アーカイブ内に、“ .exe ”(拡張子exe の前にスペース)というファイル名のファイルが含まれているか否かでフラグ化する条件が定義されていてもよく、ファイルのサイズでフラグ化する条件が定義されていてもよい。
フラグ条件は、管理者等により予め定められる。なお、フラグ化する条件は、対象とするログが脅威を含んでいるか否かを効率的に学習や判別できる条件であることが好ましい。そこで、過去に脅威を含んでいると判断されたログに含まれる文字列やファイルサイズ、アーカイブファイル名などをフラグ化する条件として利用してもよい。
例えば、フラグ条件は、過去に脅威を示すと判断されたログに含まれる文字列のうち、予め定めた頻度を超える文字列を含むか否か判断する条件であってもよい。頻度が多い文字列を含むログは、脅威を示す可能性が高いと考えられるからである。また、例えば、フラグ条件は、判別する対象のログのサイズの分布に応じて、フラグとして設定する範囲が決定されてもよい。分布に応じてフラグ条件を設定することで、偏ったフラグ化がされることを抑制できる。
フラグ化処理部16は、フラグ条件記憶部14に記憶されたフラグ条件に基づいて、ログ記憶部12に記憶されたログをフラグ化したデータ(以下、フラグ化データと記す。)を生成する。換言すると 、フラグ化処理部16は、フラグ条件記憶部14に記憶されたフラグ条件に基づいて、ログ記憶部12に記憶されたログに含まれる特定の文字列を、その特定の文字列に対応する情報(値、具体例として0または1)に変更したフラグ化データを生成する。以下の説明では、フラグ化処理部16が、フラグ化データとして、ログに特定の文字列が含まれる場合に、対応する情報“1”を生成し、ログに特定の文字列が含まれない場合に、対応する情報“0”を生成する場合について説明する。ただし、条件を満たすか否かが識別可能な情報であれば、フラグ化データの内容は0または1に限定されない。フラグ化処理部16は、生成したフラグ化データをフラグ化データ記憶部18に登録する。
図4は、フラグ化データを生成する処理の例を示す説明図である。図4に示す例では、Flag1 〜Flag7 は、「メール件名に特定のキーワードが含まれるか否か」を示すフラグ条件に応じて設定される値であり、Flag8 〜Flag12は、「送信者ドメインに特定のキーワードが含まれるか否か」を示すフラグ条件に応じて設定される値である。
さらに、図4に示す例では、Flag1 は、メール件名に「こんにちは」という文字列が含まれるか否かに応じて設定される値であり、Flag2 は、メール件名に「緊急」という文字列が含まれるか否かに応じて設定される値である。同様に、Flag1 は、メール件名に「こんにちは」という文字列が含まれるか否かに応じて設定される値であり、Flag8 は、送信者ドメイン(送信元)に“xxx.co.jp ”という文字列が含まれるか否かに応じて設定される値であり、Flag9 は、送信者ドメインに“yyy.com”という文字列が含まれるか否かに応じて設定される値である。また、例えば、送信者ドメインにフリーメールのドメインが設定されていてもよい。
例えば、図4に示す例において、ログID=“000001”で識別されるログデータのメール件名は“○○の件”である。すなわち、メール件名に「こんにちは」の文字列も「緊急」の文字列も含まれていない。そこで、フラグ化処理部16は、Flag1 およびFlag2 の値をそれぞれ“0”にフラグ化したデータを生成する。また、例えば、このログデータが別途定義されたFlag4 およびFlag7 の条件を満たす場合、フラグ化処理部16は、Flag4 およびFlag7 の値をそれぞれ“1”にフラグ化したデータを生成する。送信ドメインについても同様である。このように、フラグ化処理部16が文字列をフラグ化し、そのフラグ化された情報を用いるため、後述する学習部20及び判別部24は、文字列を用いるのに比べ、処理負荷が軽減できるだけでなく、より速やかに処理を実行することができる。
フラグ化データ記憶部18は、フラグ化データを記憶する。なお、フラグ化処理部16が生成したフラグ化データを後述する判別部24が直接用いる場合、脅威分析システム100は、フラグ化データ記憶部18を備えていなくてもよい。
学習部20は、上述するフラグを説明変数とし、脅威を示すか否かを目的変数とするモデルを学習する。具体的には、学習部20は、フラグ化されたログとそのログが脅威を示すか否かを表す情報とを対応付けた学習データを用いて、上記モデルを学習する。脅威を示すか否かは、生成するモデルに応じて定められればよく、例えば、0(脅威なし)または1(脅威あり)で表されていてもよいし、脅威の度合いで表されていてもよい。学習データは、例えば、過去に脅威を示すか否かが判断されたログを、フラグ化処理部16によってフラグ化することで作成されてもよい。学習部20が学習したモデルを、以下、学習済モデルと記す。
モデル記憶部22は、学習部20が生成した学習済みモデルを記憶する。
判別部24は、学習済モデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別する。例えば、学習済モデルが、脅威か否かを0/1で判別するモデルの場合、判別部24は、1(脅威あり)と判別されたフラグ化データの生成元ログを、脅威を示すログと判断してもよい。また、例えば、学習済モデルが、脅威か否かを度合いで算出するモデルの場合、判別部24は、予め定めた閾値を超える度合いが算出されたフラグ化データの生成元ログを、脅威を示すログと判断してもよい。
なお、この閾値の設定方法は任意であり、例えば、過去に脅威ありと判別されたデータに基づいて設定してもよいし、学習済モデルの検証結果に応じて設定してもよい。
出力部26は、判別対象としたログが脅威を示すログか否かを示す判別結果を出力する。
フラグ条件記憶部14と、フラグ化処理部16と、学習部20と、判別部24と、出力部26とは、プログラム(脅威分析プログラム)に従って動作するコンピュータのCPUによって実現される。また、脅威検知部10も、プログラムに従って動作するコンピュータのCPUによって実現されてもよい。例えば、プログラムは、脅威分析システム100の記憶部(図示せず)に記憶され、CPUは、そのプログラムを読み込み、プログラムに従って、フラグ条件記憶部14、フラグ化処理部16、学習部20、判別部24および出力部26として動作してもよい。
また、フラグ条件記憶部14と、フラグ化処理部16と、学習部20と、と、出力部26とは、それぞれが専用のハードウェアで実現されていてもよい。また、ログ記憶部12と、フラグ化データ記憶部18と、モデル記憶部22とは、例えば、磁気ディスク等により実現される。
また、本実施形態では、脅威分析システム100が学習部20およびモデル記憶部22を備えている場合について説明した。ただし、学習部20およびモデル記憶部22が、本願の脅威分析システム100と独立した情報処理装置(図示せず)で実現されていてもよい。この場合、判別部24は、上記情報処理装置が生成した学習済モデルを受信して、判別処理を行ってもよい。
次に、本実施形態の脅威分析システム100の動作を説明する。図5は、本実施形態の脅威分析システム100の動作例を示すフローチャートである。
脅威検知部10は、取得されたログから脅威を表す可能性のあるログを検知し(ステップS11)、ログ記憶部12に記憶する。フラグ化処理部16は、フラグ条件記憶部14に記憶されたフラグ条件に基づいて、検知されたログをフラグ化したフラグ化データを生成する(ステップS12)。判別部24は、学習部20によって生成された学習済みモデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別する(ステップS13)。そして、出力部26は、判別結果を出力する(ステップS14)。
以上のように、本実施形態では、脅威検知部10が、取得されたログから脅威を表す可能性のあるログを検知し、フラグ化処理部16がフラグ条件に基づいて、検知されたログからフラグ化データを生成する。そして、判別部24が、上述するモデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別し、出力部26が判別結果を出力する。よって、セキュリティ監視者の運用負担を軽減しつつ、脅威を検知する精度を向上できる。
次に、本発明の概要を説明する。図6は、本発明による脅威分析システムの概要を示すブロック図である。本発明による脅威分析システム80(例えば、脅威分析システム100)は、取得されたログから脅威を表す可能性のあるログを検知する脅威検知部81(例えば、脅威検知部10)と、ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知されたログをフラグ化したフラグ化データを生成するフラグ化処理部82(例えば、フラグ化処理部16)と、フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルにフラグ化データを適用して、そのフラグ化データの生成元のログが脅威を示すログか否かを判別する判別部83(例えば、判別部24)と、そのログが脅威を示すログか否かを示す判別結果を出力する出力部84(例えば、出力部26)とを備えたことを特徴とする。
そのような構成により、セキュリティ監視者の運用負担を軽減しつつ、脅威を検知する精度を向上できる。
具体的には、脅威検知部81は、脅威を表す可能性のあるメールのログを検知し、フラグ化処理部82は、メールの送信元(例えば、送信元ドメイン)に所定の文字列が含まれるか否かを判断するフラグ条件に基づいてフラグ化データを生成してもよい。
また、フラグ条件は、過去に脅威を示すと判断されたログに含まれる文字列のうち、予め定めた頻度を超える文字列を含むか否か判断する条件を含んでいてもよい。
また、フラグ条件として、判別する対象のログのサイズの分布に応じて、フラグとして設定する範囲が決定されてもよい。
また、脅威分析システム80は、フラグ化データの生成元のログとそのログが脅威を示すか否かを表す情報とを対応付けた学習データを用いてモデルを学習する学習部(例えば、学習部20)を備えていてもよい。そして、判別部83は、モデルにフラグ化データを適用してそのフラグ化データの生成元のログが脅威を示すログか否かを判別してもよい。
以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2018年3月19日に出願された日本特許出願2018−050503を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 脅威検知部
12 ログ記憶部
14 フラグ条件記憶部
16 フラグ化処理部
18 フラグ化データ記憶部
20 学習部
22 モデル記憶部
24 判別部
26 出力部

Claims (9)

  1. 取得されたログから脅威を表す可能性のあるログを検知する脅威検知部と、
    ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知された前記ログをフラグ化したフラグ化データを生成するフラグ化処理部と、
    前記フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルに前記フラグ化データを適用して、当該フラグ化データの生成元のログが脅威を示すログか否かを判別する判別部と、
    前記ログが脅威を示すログか否かを示す判別結果を出力する出力部とを備えた
    ことを特徴とする脅威分析システム。
  2. 脅威検知部は、脅威を表す可能性のあるメールのログを検知し、
    フラグ化処理部は、前記メールの送信元に所定の文字列が含まれるか否かを判断するフラグ条件に基づいてフラグ化データを生成する
    請求項1記載の脅威分析システム。
  3. フラグ条件は、過去に脅威を示すと判断されたログに含まれる文字列のうち、予め定めた頻度を超える文字列を含むか否か判断する条件を含む
    請求項1または請求項2記載の脅威分析システム。
  4. フラグ条件として、判別する対象のログのサイズの分布に応じて、フラグとして設定する範囲が決定される
    請求項1から請求項3のうちのいずれか1項に記載の脅威分析システム。
  5. フラグ化データの生成元のログと当該ログが脅威を示すか否かを表す情報とを対応付けた学習データを用いてモデルを学習する学習部を備え、
    判別部は、前記モデルにフラグ化データを適用して当該フラグ化データの生成元のログが脅威を示すログか否かを判別する
    請求項1から請求項4のうちのいずれか1項に記載の脅威分析システム。
  6. 取得されたログから脅威を表す可能性のあるログを検知し、
    ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知された前記ログをフラグ化したフラグ化データを生成し、
    前記フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルに前記フラグ化データを適用して、当該フラグ化データの生成元のログが脅威を示すログか否かを判別し、
    前記ログが脅威を示すログか否かを示す判別結果を出力する
    ことを特徴とする脅威分析方法。
  7. 脅威を表す可能性のあるメールのログを検知し、
    前記メールの送信元に所定の文字列が含まれるか否かを判断するフラグ条件に基づいてフラグ化データを生成する
    請求項6記載の脅威分析方法。
  8. コンピュータに、
    取得されたログから脅威を表す可能性のあるログを検知する脅威検知処理、
    ログが満たす条件に応じて設定されるフラグを規定したフラグ条件に基づいて、検知された前記ログをフラグ化したフラグ化データを生成するフラグ化処理、
    前記フラグを説明変数とし、脅威を示すか否かを目的変数とするモデルに前記フラグ化データを適用して、当該フラグ化データの生成元のログが脅威を示すログか否かを判別する判別処理、および、
    前記ログが脅威を示すログか否かを示す判別結果を出力する出力処理
    を実行させるための脅威分析プログラム。
  9. 脅威検知処理で、脅威を表す可能性のあるメールのログを検知させ、
    フラグ化処理で、前記メールの送信元に所定の文字列が含まれるか否かを判断するフラグ条件に基づいてフラグ化データを生成させる
    請求項8記載の脅威分析プログラム。
JP2020507306A 2018-03-19 2018-09-12 脅威分析システム、脅威分析方法および脅威分析プログラム Pending JPWO2019181005A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018050503 2018-03-19
JP2018050503 2018-03-19
PCT/JP2018/033786 WO2019181005A1 (ja) 2018-03-19 2018-09-12 脅威分析システム、脅威分析方法および脅威分析プログラム

Publications (1)

Publication Number Publication Date
JPWO2019181005A1 true JPWO2019181005A1 (ja) 2021-03-11

Family

ID=67988313

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020507306A Pending JPWO2019181005A1 (ja) 2018-03-19 2018-09-12 脅威分析システム、脅威分析方法および脅威分析プログラム

Country Status (3)

Country Link
US (1) US20210034740A1 (ja)
JP (1) JPWO2019181005A1 (ja)
WO (1) WO2019181005A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113364725B (zh) * 2020-03-05 2023-02-03 深信服科技股份有限公司 一种非法探测事件检测方法、装置、设备及可读存储介质
CN113014574B (zh) * 2021-02-23 2023-07-14 深信服科技股份有限公司 一种域内探测操作检测方法、装置及电子设备
CN112966002B (zh) * 2021-02-28 2023-04-18 新华三信息安全技术有限公司 一种安全管理方法、装置、设备及机器可读存储介质
CN113992371B (zh) * 2021-10-18 2023-08-18 安天科技集团股份有限公司 一种流量日志的威胁标签生成方法、装置及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017130037A (ja) * 2016-01-20 2017-07-27 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7693945B1 (en) * 2004-06-30 2010-04-06 Google Inc. System for reclassification of electronic messages in a spam filtering system
WO2014112185A1 (ja) * 2013-01-21 2014-07-24 三菱電機株式会社 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US9392007B2 (en) * 2013-11-04 2016-07-12 Crypteia Networks S.A. System and method for identifying infected networks and systems from unknown attacks
EP3136249B1 (en) * 2014-06-06 2018-12-19 Nippon Telegraph and Telephone Corporation Log analysis device, attack detection device, attack detection method and program
WO2016140038A1 (ja) * 2015-03-05 2016-09-09 日本電信電話株式会社 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
US20170178025A1 (en) * 2015-12-22 2017-06-22 Sap Se Knowledge base in enterprise threat detection
US10116678B2 (en) * 2016-02-25 2018-10-30 Verrafid LLC System for detecting fraudulent electronic communications impersonation, insider threats and attacks
WO2017205936A1 (en) * 2016-06-03 2017-12-07 National Ict Australia Limited Classification of log data
JP6560451B2 (ja) * 2016-06-20 2019-08-14 日本電信電話株式会社 悪性通信ログ検出装置、悪性通信ログ検出方法、悪性通信ログ検出プログラム
US11057411B2 (en) * 2016-06-23 2021-07-06 Nippon Telegraph And Telephone Corporation Log analysis device, log analysis method, and log analysis program
US20190026461A1 (en) * 2017-07-20 2019-01-24 Barracuda Networks, Inc. System and method for electronic messaging threat scanning and detection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017130037A (ja) * 2016-01-20 2017-07-27 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
小池 泰輔: "ランダムフォレストアルゴリズムを用いたネットワーク侵入検出システムの性能解析", 第76回(平成26年)全国大会講演論文集(3) ネットワーク セキュリティ, JPN6018047519, 11 March 2014 (2014-03-11), pages 3 - 619, ISSN: 0004862141 *
村上 愼一: "サービス評価", 日経クラウドファースト 第15号, JPN6018047524, 20 June 2017 (2017-06-20), JP, pages 12 - 18, ISSN: 0004862143 *
渡部 正文: "企業グループに送られた標的型攻撃メールのソーシャルエンジニアリング視点からの分析", 情報処理学会 論文誌(ジャーナル) VOL.57 NO.12 [ONLINE], vol. 第57巻, JPN6018047522, 15 December 2016 (2016-12-15), JP, pages 2731 - 2742, ISSN: 0004862142 *

Also Published As

Publication number Publication date
US20210034740A1 (en) 2021-02-04
WO2019181005A1 (ja) 2019-09-26

Similar Documents

Publication Publication Date Title
US10713362B1 (en) Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US11609991B2 (en) Methods and apparatus for using machine learning on multiple file fragments to identify malware
KR102612500B1 (ko) 로깅을 통한 민감 데이터 노출 탐지
JPWO2019181005A1 (ja) 脅威分析システム、脅威分析方法および脅威分析プログラム
US8037536B2 (en) Risk scoring system for the prevention of malware
US10515214B1 (en) System and method for classifying malware within content created during analysis of a specimen
US10397256B2 (en) Spam classification system based on network flow data
US7260844B1 (en) Threat detection in a network security system
US9679136B2 (en) Method and system for discrete stateful behavioral analysis
US9781144B1 (en) Determining duplicate objects for malware analysis using environmental/context information
US7434261B2 (en) System and method of identifying the source of an attack on a computer network
US10601847B2 (en) Detecting user behavior activities of interest in a network
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
US20210157909A1 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US11258811B2 (en) Email attack detection and forensics
US20220253526A1 (en) Incremental updates to malware detection models
US9319420B1 (en) Cyber intelligence clearinghouse
CN112511517A (zh) 一种邮件检测方法、装置、设备及介质
JP2006067605A5 (ja)
US8479289B1 (en) Method and system for minimizing the effects of rogue security software
US9171171B1 (en) Generating a heat map to identify vulnerable data users within an organization
CN105978911B (zh) 基于虚拟执行技术的恶意代码检测方法及装置
Ravula et al. Learning attack features from static and dynamic analysis of malware
US20130254893A1 (en) Apparatus and method for removing malicious code
US11232202B2 (en) System and method for identifying activity in a computer system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210804

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220830

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230228