JPWO2022137883A5 - 攻撃情報生成装置、制御方法、及びプログラム - Google Patents

攻撃情報生成装置、制御方法、及びプログラム Download PDF

Info

Publication number
JPWO2022137883A5
JPWO2022137883A5 JP2022571953A JP2022571953A JPWO2022137883A5 JP WO2022137883 A5 JPWO2022137883 A5 JP WO2022137883A5 JP 2022571953 A JP2022571953 A JP 2022571953A JP 2022571953 A JP2022571953 A JP 2022571953A JP WO2022137883 A5 JPWO2022137883 A5 JP WO2022137883A5
Authority
JP
Japan
Prior art keywords
event
attack
execution period
occurrences
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022571953A
Other languages
English (en)
Other versions
JPWO2022137883A1 (ja
Filing date
Publication date
Application filed filed Critical
Priority claimed from PCT/JP2021/041829 external-priority patent/WO2022137883A1/ja
Publication of JPWO2022137883A1 publication Critical patent/JPWO2022137883A1/ja
Publication of JPWO2022137883A5 publication Critical patent/JPWO2022137883A5/ja
Pending legal-status Critical Current

Links

Description

<ログ10について>
前述したように、ログ10は、対象攻撃が実行される環境のログである。例えばログ10は、1)対象攻撃を受けるマシン(以下、対象マシン)上で取得されるログと、2)他対象マシンと他のマシンとの間の通信経路上で取得されるログとに大別される。以下、1)のログをエンドポイントログと呼び、2のログをネットワークログと呼ぶ。なお、対象マシンは物理マシンであってもよいし、仮想マシンであってもよい。

Claims (24)

  1. 対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、1つ以上のイベントそれぞれの出現数を特定する特定手段と、
    前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定手段と、
    前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成手段と、を有する攻撃情報生成装置。
  2. 前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、請求項1に記載の攻撃情報生成装置。
  3. 前記特定手段は、
    前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を1とし、
    前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を0とする、請求項1又は2に記載の攻撃情報生成装置。
  4. 前記特定手段は、
    前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、1つ以上の所定の項目において互いに一致又は類似する値が示されている各前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
    各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、請求項1から3いずれか一項に記載の攻撃情報生成装置。
  5. 前記生成手段は、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、請求項1から4いずれか一項に記載の攻撃情報生成装置。
  6. 前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、請求項5に記載の攻撃情報生成装置。
  7. 前記対象攻撃の複数回の実行のうち、少なくとも2回の実行は、互いに異なるテスト環境で行われる、請求項1から6いずれか一項に記載の攻撃情報生成装置。
  8. 前記特定手段は、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
    前記生成手段は、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、請求項1から7いずれか一項に記載の攻撃情報生成装置。
  9. コンピュータによって実行される制御方法であって、
    対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、1つ以上のイベントそれぞれの出現数を特定する特定ステップと、
    前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定ステップと、
    前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成ステップと、を有する制御方法。
  10. 前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、請求項9に記載の制御方法。
  11. 前記特定ステップにおいて、
    前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を1とし、
    前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を0とする、請求項9又は10に記載の制御方法。
  12. 前記特定ステップにおいて、
    前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、1つ以上の所定の項目において互いに一致又は類似する値が示されている各前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
    各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、請求項9から11いずれか一項に記載の制御方法。
  13. 前記生成ステップにおいて、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、請求項9から12いずれか一項に記載の制御方法。
  14. 前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、請求項13に記載の制御方法。
  15. 前記対象攻撃の複数回の実行のうち、少なくとも2回の実行は、互いに異なるテスト環境で行われる、請求項9から13いずれか一項に記載の制御方法。
  16. 前記特定ステップにおいて、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
    前記生成ステップにおいて、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、請求項9から15いずれか一項に記載の制御方法。
  17. 対象攻撃の複数回の実行それぞれについて、その実行期間におけるログを用いて、1つ以上のイベントそれぞれの出現数を特定する特定ステップと、
    前記イベントごとに、前記対象攻撃の複数回の実行それぞれについて特定されたそのイベントの出現数が、所定条件を満たすか否かを判定する判定ステップと、
    前記対象攻撃と、出現数が前記所定条件を満たすと判定された前記イベントとを対応づけた攻撃情報を生成する生成ステップと、をコンピュータに実行させるプログラム。
  18. 前記所定条件は、前記対象攻撃の複数回の実行それぞれについて特定された前記イベントの出現数の統計値が閾値以上であることである、請求項17に記載のプログラム
  19. 前記特定ステップにおいて、
    前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在する前記イベントの出現数を1とし、
    前記対象攻撃の実行期間における前記ログの中に対応するエントリが存在しない前記イベントの出現数を0とする、請求項17又は18に記載のプログラム
  20. 前記特定ステップにおいて、
    前記ログにおいて前記対象攻撃の実行期間に記録されている複数のエントリのうち、1つ以上の所定の項目において互いに一致又は類似する値が示されている前記エントリを、互いに同一の前記イベントを表す前記エントリとして特定し、
    各前記イベントについて、そのイベントを表すものとして特定された前記エントリの数に基づいて、そのイベントの出現数を特定する、請求項17から19いずれか一項に記載のプログラム
  21. 前記生成ステップにおいて、前記対象攻撃の実行期間の長さを特定し、当該実行期間の長さを前記攻撃情報に含める、請求項17から20いずれか一項に記載のプログラム
  22. 前記攻撃情報に含める前記対象攻撃の実行期間の長さは、複数回実行された前記対象攻撃それぞれの実行期間の長さの統計値である、請求項21に記載のプログラム
  23. 前記対象攻撃の複数回の実行のうち、少なくとも2回の実行は、互いに異なるテスト環境で行われる、請求項17から22いずれか一項に記載のプログラム
  24. 前記特定ステップにおいて、複数種類の前記ログそれぞれについて、各前記イベントの出現数の特定を行い、
    前記生成ステップにおいて、前記攻撃情報に、前記イベントを表すエントリが抽出された前記ログの種類を含める、請求項17から23いずれか一項に記載のプログラム
JP2022571953A 2021-11-15 攻撃情報生成装置、制御方法、及びプログラム Pending JPWO2022137883A5 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020215074 2020-12-24
PCT/JP2021/041829 WO2022137883A1 (ja) 2020-12-24 2021-11-15 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体

Publications (2)

Publication Number Publication Date
JPWO2022137883A1 JPWO2022137883A1 (ja) 2022-06-30
JPWO2022137883A5 true JPWO2022137883A5 (ja) 2023-09-05

Family

ID=

Similar Documents

Publication Publication Date Title
CN110347596B (zh) 一种测试方法、装置、系统、电子设备及介质
US7954158B2 (en) Characterizing computer attackers
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
WO2013061213A1 (en) Passive monitoring of virtual systems using extensible indexing
JP2021528753A5 (ja)
US10635516B2 (en) Intelligent logging
JP2015130152A (ja) 情報処理装置及びプログラム
JPWO2022044064A5 (ja) 機械学習データ生成プログラム、機械学習データ生成方法および機械学習データ生成装置
RU2019120221A (ru) Способ поиска образцов вредоносных сообщений
CN111273995A (zh) 一种虚拟微隔离网络的安全调度方法及系统
Olivain et al. The Orchids intrusion detection tool
JPWO2022137883A5 (ja) 攻撃情報生成装置、制御方法、及びプログラム
US9471779B2 (en) Information processing system, information processing device, monitoring device, monitoring method
JP5613000B2 (ja) アプリケーション特性解析装置およびプログラム
US9178902B1 (en) System and method for determining enterprise information security level
Godboley et al. AV-AFL: A Vulnerability Detection Fuzzing Approach by Proving Non-reachable Vulnerabilities using Sound Static Analyser.
May et al. BigBug: Practical concurrency analysis for SDN
JP6904155B2 (ja) 情報処理装置、情報処理方法及びプログラム
CN111064637B (zh) NetFlow数据去重方法及装置
KR101934381B1 (ko) 해킹툴 탐지 방법 및 이를 수행하는 사용자 단말 및 서버
Sangpetch et al. VDEP: VM dependency discovery in multi-tier Cloud applications
CN111949555A (zh) 一种基于多维向量和规则脚本的随机测试方法及装置
WO2022137883A1 (ja) 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体
CN111786938A (zh) 防止恶意获取资源的方法、系统和电子设备
CN109218255B (zh) 安全防护方法、控制系统和安全防护系统