JP6190518B2 - 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム - Google Patents
分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム Download PDFInfo
- Publication number
- JP6190518B2 JP6190518B2 JP2016508718A JP2016508718A JP6190518B2 JP 6190518 B2 JP6190518 B2 JP 6190518B2 JP 2016508718 A JP2016508718 A JP 2016508718A JP 2016508718 A JP2016508718 A JP 2016508718A JP 6190518 B2 JP6190518 B2 JP 6190518B2
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- log
- analysis rule
- rule
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Description
第1の実施形態にかかる分析ルール調整システム1(図1参照)は、悪性ログおよび良性ログの2種類の通信ログを収集し、双方に対して所定の分析ルールを適用することで、当該分析ルールを用いた場合の不正通信の検出精度を算出する。そして、分析ルール調整システム1は、算出される検出精度が、予め定めた許容検出精度を満足する値となるまで、分析ルールのパラメータ閾値を推移させる。このとき、分析ルール調整システム1は、予め定められた閾値の範囲内でパラメータ閾値を推移させてもよい。分析ルール調整システム1は、検出精度が予め定めた条件、たとえば許容検出精度を満足する値となったときの分析ルールのパラメータの閾値をチューニング推奨値とする。そして、分析ルール調整システム1は、分析ルールをチューニング推奨値に基づいて更新する。なお、分析ルールとチューニング条件の設定によっては、分析ルール調整システム1による調整で条件を満たす分析ルールを得られないことも考えられる。この場合は、さらにオペレータが手動で再調整を行ってもよい。また、当該分析ルールは使用しないように設定してもよい。
分析ルールの調整に用いる悪性ログおよび良性ログについて説明する。まず、一般的なログの概要について説明する。
次に分析ルールおよびパラメータについて説明する。上述のように、分析ルールは、マルウェアの行う通信ログの分析に基づいて、不正な通信や挙動を検出するために作成され、通信の振る舞いの監視および不正な通信の検出に利用される。
このように設定した分析ルールを防御対象ネットワークに適用する際、パラメータチューニングを行う。パラメータチューニングとは、分析ルールのパラメータの閾値を適正に設定するための調整をいう。また、本実施の形態では、パラメータチューニングにおいて予めチューニング条件を定めておく。チューニング条件とはたとえば、「誤検出率の許容値を0.5%以下とする」、「閾値の調整は0.5間隔で行う」「閾値は1〜100の範囲内とする」等である。分析ルール調整システム1は、チューニング条件に基づいてログの分析ルールをチューニングし分析ルールのパラメータの閾値を適正化する。
図1は、第1の実施形態に係る分析ルール調整システム1の概要を示す図である。第1の実施形態に係る分析ルール調整システム1は、ログ収集蓄積装置10と、分析ルール調整装置20と、を備える。
ログ収集蓄積装置10は、Web ProxyやFW等の装置から悪性ログおよび良性ログを取り込み収集する。また、ログ収集蓄積装置10は、収集した悪性ログおよび良性ログをそれぞれ正規化して格納する。
分析ルール調整装置20は、ログ収集蓄積装置10が収集し蓄積したログに基づき、分析ルールを調整する。具体的には、分析ルール調整装置20は、分析ルールのパラメータに設定する閾値を調整するパラメータチューニングを実行する。
分析ルール記憶部251と、チューニング設定情報記憶部252と、分析結果記憶部253と、はそれぞれ図6乃至図8に示すような情報を記憶する。
図9は、第1の実施形態に係るログ収集蓄積処理の流れの一例を示すフローチャートである。図9を参照して、第1の実施形態に係るログ収集蓄積処理の流れの一例について説明する。
図10は、第1の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。図10を参照し、第1の実施形態に係る分析ルール調整処理の流れの一例について説明する。
上記のように、第1の実施形態に係る分析ルール調整システム1は、ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する。また、分析ルール調整システム1は、防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得し正規化して格納するログ格納装置と、ログ格納装置に格納される通信ログを分析して分析ルールを調整する分析ルール調整装置と、を備える。分析ルール調整装置は、ログ格納装置から通信ログを取得するログ取得部と、ログ取得部が取得した通信ログを、所定の分析ルールとチューニング条件に基づき分析するログ分析部と、ログ分析部による分析結果を解析して、所定の分析ルールの調整に用いる、チューニング条件を満たすチューニング推奨値を算出する第1の解析部(分析結果解析部)と、を備える。このため、分析ルール調整システム1は、自動的かつ効率的に分析ルールの妥当性を検証し分析ルールを適正化することができる。
なお、上記第1の実施形態において、同時に複数の分析ルールのパラメータに設定する閾値を調整するようにしてもよい。また、たとえば、複数の分析ルールによる分析を並行して実行し、各々について誤検出率および検出率を算出して、最適な閾値を算出するようにしてもよい。この場合、分析ルール調整システム1は、並行して複数のチューニング推奨値を算出することになる。
第1の実施形態にかかる分析ルール調整システム1は、所定の分析ルールおよびチューニング条件に基づいてログを分析し、分析結果を解析してチューニング推奨値を選択し、チューニング推奨値に基づいて分析ルールを更新した。これに対して、第2の実施形態にかかる分析ルール調整システム2は、複数の分析ルールおよびチューニング条件に基づいてログを分析した分析結果を取得し、複数の分析ルール間で調整を行う。すなわち、第2の実施形態にかかる分析ルール調整システム2は、分析ルールの組に含まれる各分析ルールに対するチューニング推奨値と、当該チューニング推奨値を適用した場合に検知される検体を識別する検体識別情報とを取得する。そして、第2の実施形態にかかる分析ルール調整システム2は、チューニング推奨値および検体識別情報に基づき、分析ルールセットに含まれる分析ルールを削減する調整を行い、分析ルールセットを更新する。なお、分析ルールセットとは、分析に使用する複数の分析ルールの組み合わせを指す。
図11は、第2の実施形態に係る分析ルール調整システム2の概要を示す図である。分析ルール調整システム2の構成は概ね、第1の実施形態に係る分析ルール調整システム1と同様である。以下の説明において、第1の実施形態と同様の構成および機能については説明を省略する。
図15は、第2の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。図15を参照して、第2の実施形態に係る分析ルール調整処理の流れの一例を説明する。
次に、図15のステップS1506における推奨ルールセットの作成処理についてさらに説明する。図16は、第2の実施形態に係る推奨ルールセット作成処理について説明するための図である。推奨ルールセット作成処理は、レポート解析部260Aが実行する。
このように、第2の実施形態に係る分析ルール調整装置は、ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整装置であって、防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得するログ取得部と、ログ取得部が取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析するログ分析部と、ログ分析部による分析結果を解析して、所定の分析ルールの調整に用いる、チューニング条件を満たすチューニング推奨値を算出する第1の解析部(分析結果解析部)と、を備える。このため、自動的かつ効率的に分析ルールの妥当性を検証し分析ルールを適正化することができる。
さて、第2の実施形態では、分析ルールセットに含まれる各分析ルールに対して一つのチューニング推奨値を算出し、当該チューニング推奨値に対応する検体識別情報を出力するように構成した。これに対し、第3の実施形態では、分析ルールセットに含まれる各分析ルールに対して複数のチューニング推奨値を算出する。
図17は、第3の実施形態に係る分析ルール調整システム3の概要を示す図である。分析ルール調整システム3の構成は概ね、第2の実施形態に係る分析ルール調整システム2と同様である。以下の説明において、第2の実施形態と同様の構成および機能については説明を省略する。
図18は、第3の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。図18を参照して、第3の実施形態に係る分析ルール調整処理の流れの一例を説明する。
上記のような構成を有する第3の実施形態にかかる分析ルール調整装置は、第2の実施形態にかかる分析ルール調整装置が奏する効果に加えて以下の効果を奏する。
これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。以下に、その他の実施形態を説明する。
第2の実施形態において、ログ分析部220Aの分析結果は分析結果記憶部253Aに記憶される。分析結果は、異なる分析ルールセットに含まれる分析ルールを調整するため、再利用してもよいことは上述した。また、ログ分析部220Aが作成する分析結果のうち、悪性ログの分析結果から所定の形式の検知率表を作成して記憶しておき、再利用できるように構成してもよい。
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、ログ分析部220と分析結果解析部230とを統合してもよく、分析ルールを他の装置から取得し、チューニング推奨値を当該他の装置に供給するような構成としてもよい。
また、上記実施の形態において説明した分析ルール調整システム1,2,3または分析ルール調整装置20,20A,20Bが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第1の実施形態に係る分析ルール調整システム1または分析ルール調整装置20が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録されプログラムをコンピュータに読み込ませて実行することにより上記第1の実施形態と同様の処理を実現してもよい。以下に、分析ルール調整システム1,2,3または分析ルール調整装置20,20A,20Bと同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。
10 ログ収集蓄積装置
20,20A,20B 分析ルール調整装置
110 ログ収集部
120 ログ正規化部
130 ログ記憶部
210 ログ取得部
220,220A,220B ログ分析部
230,230A,230B 分析結果解析部
240,240A,240B フィードバック部
251,251A,251B 分析ルール記憶部
252,252A,252B チューニング設定情報記憶部
253,253A,253B 分析結果記憶部
260A、260B レポート解析部
270 セット選択部
Claims (10)
- ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整装置であって、
防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得するログ取得部と、
前記ログ取得部が取得した通信ログを、所定の分析ルールの組に含まれる各分析ルールとチューニング条件とに基づき分析するログ分析部と、
前記ログ分析部による、前記所定の分析ルールの組に含まれる各分析ルールによる分析結果を解析して、前記所定の分析ルールの調整に用いる、前記所定の分析ルールの組に含まれる各分析ルールに対応し、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析部と、
を備えることを特徴とする分析ルール調整装置。 - 前記第1の解析部は、前記所定の分析ルールの組に含まれる各分析ルールによる分析結果を並行して解析することを特徴とする請求項1に記載の分析ルール調整装置。
- 前記第1の解析部は、前記チューニング推奨値とともに、当該チューニング推奨値を適用した場合に検知される検体を一意に識別するための検体識別情報を出力することを特徴とする請求項2に記載の分析ルール調整装置。
- 前記第1の解析部が出力するチューニング推奨値および検体識別情報を解析する第2の解析部をさらに備え、
前記第1の解析部は、前記所定の分析ルールの組に含まれる各分析ルールについてチューニング推奨値と検体識別情報とを出力し、
前記第2の解析部は、前記検体識別情報にもとづいて、前記所定の分析ルールの組に含まれる分析ルールの数を減じた推奨ルールセットを出力することを特徴とする請求項3に記載の分析ルール調整装置。 - 前記ログ分析部による分析結果を記憶する記憶部をさらに備え、
前記第1の解析部は、前記記憶部に記憶された分析結果にもとづき、異なる分析ルールの組について解析を行うことを特徴とする請求項3に記載の分析ルール調整装置。 - 前記ログ分析部は、前記チューニング条件として所定範囲のパラメータの指定を受け付け、指定された前記所定範囲について前記通信ログを分析することを特徴とする請求項1に記載の分析ルール調整装置。
- 前記第1の解析部が算出するチューニング推奨値に基づき、前記所定の分析ルールの組を更新するフィードバック部をさらに備えることを特徴とする請求項1乃至6の何れか1項に記載の分析ルール調整装置。
- ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整システムであって、
防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得し正規化して格納するログ格納装置と、
前記ログ格納装置に格納される通信ログを分析して前記分析ルールを調整する分析ルール調整装置と、
を備え、前記分析ルール調整装置は、
前記ログ格納装置から通信ログを取得するログ取得部と、
前記ログ取得部が取得した通信ログを、所定の分析ルールの組に含まれる各分析ルールとチューニング条件とに基づき分析するログ分析部と、
前記ログ分析部による、前記所定の分析ルールの組に含まれる各分析ルールによる分析結果を解析して、前記所定の分析ルールの調整に用いる、前記所定の分析ルールの組に含まれる各分析ルールに対応し、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析部と、
を備えることを特徴とする分析ルール調整システム。 - ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整方法であって、
防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得しログ格納部に格納するログ格納工程と、
前記ログ格納工程において前記ログ格納部に格納した通信ログを取得するログ取得工程と、
前記ログ取得工程において取得した通信ログを、所定の分析ルールの組に含まれる各分析ルールとチューニング条件とに基づき分析するログ分析工程と、
前記ログ分析工程による、前記所定の分析ルールの組に含まれる各分析ルールによる分析結果を解析して、前記所定の分析ルールの調整に用いる、前記所定の分析ルールの組に含まれる各分析ルールに対応し、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析工程と、
を含むことを特徴とする分析ルール調整方法。 - ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整装置によって実行される分析ルール調整プログラムであって、
防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得するログ取得手順と、
前記ログ取得手順において取得した通信ログを、所定の分析ルールの組に含まれる各分析ルールとチューニング条件とに基づき分析するログ分析手順と、
前記ログ分析手順における、前記所定の分析ルールの組に含まれる各分析ルールによる分析結果を解析して、前記所定の分析ルールの調整に用いる、前記所定の分析ルールの組に含まれる各分析ルールに対応し、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析手順と、
を含むことを特徴とする分析ルール調整プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014056660 | 2014-03-19 | ||
| JP2014056660 | 2014-03-19 | ||
| PCT/JP2015/057710 WO2015141630A1 (ja) | 2014-03-19 | 2015-03-16 | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2015141630A1 JPWO2015141630A1 (ja) | 2017-04-13 |
| JP6190518B2 true JP6190518B2 (ja) | 2017-08-30 |
Family
ID=54144598
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016508718A Active JP6190518B2 (ja) | 2014-03-19 | 2015-03-16 | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10104124B2 (ja) |
| EP (1) | EP3099024B1 (ja) |
| JP (1) | JP6190518B2 (ja) |
| CN (1) | CN106105112B (ja) |
| WO (1) | WO2015141630A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102702108B1 (ko) * | 2023-12-18 | 2024-09-04 | 에스지에이솔루션즈 주식회사 | 보안 취약점의 스캔 결과로부터 침입 차단 시스템의 룰을 추천하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6524789B2 (ja) * | 2015-05-13 | 2019-06-05 | 富士通株式会社 | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
| WO2017221711A1 (ja) * | 2016-06-23 | 2017-12-28 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
| CN107645478B (zh) * | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
| JP6786960B2 (ja) | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
| EP3563543B1 (en) | 2016-12-30 | 2022-04-06 | British Telecommunications public limited company | Data breach detection |
| EP3563286A1 (en) * | 2016-12-30 | 2019-11-06 | British Telecommunications Public Limited Company | Attack signature generation |
| CN108268354B (zh) * | 2016-12-30 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 数据安全监控方法、后台服务器、终端及系统 |
| WO2018122050A1 (en) * | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Historic data breach detection |
| JP7006704B2 (ja) * | 2017-12-13 | 2022-01-24 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
| JP6719492B2 (ja) * | 2018-02-26 | 2020-07-08 | 三菱電機株式会社 | ルール生成装置およびルール生成プログラム |
| US11558401B1 (en) * | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
| JP6767425B2 (ja) * | 2018-04-20 | 2020-10-14 | 日本電信電話株式会社 | 分析装置および分析方法 |
| CN109284268B (zh) * | 2018-10-29 | 2020-11-24 | 杭州安恒信息技术股份有限公司 | 一种快速解析日志的方法、系统及电子设备 |
| JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
| US11558410B2 (en) * | 2019-05-29 | 2023-01-17 | Arbor Networks, Inc. | Measurement and analysis of traffic filtered by network infrastructure |
| JP7311350B2 (ja) * | 2019-08-07 | 2023-07-19 | 株式会社日立ソリューションズ | 監視装置、監視方法、および監視プログラム |
| CN110855495B (zh) * | 2019-11-18 | 2022-06-24 | 北京天融信网络安全技术有限公司 | 任务动态平衡方法、装置、系统、电子设备及存储介质 |
| WO2021106172A1 (ja) * | 2019-11-28 | 2021-06-03 | 日本電信電話株式会社 | ルール生成装置およびルール生成プログラム |
| JP7258801B2 (ja) * | 2020-03-10 | 2023-04-17 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
| US11483351B2 (en) * | 2020-08-26 | 2022-10-25 | Cisco Technology, Inc. | Securing network resources from known threats |
| CN112084092B (zh) * | 2020-09-11 | 2022-06-17 | 山东英信计算机技术有限公司 | 一种诊断规则的确定方法、装置、设备及存储介质 |
| CN112399466B (zh) * | 2020-11-12 | 2024-02-09 | 国网江苏省电力有限公司信息通信分公司 | 一种基于领域规则库的通信规则缺陷的分析方法 |
| KR102280845B1 (ko) * | 2020-11-24 | 2021-07-22 | 한국인터넷진흥원 | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 |
| WO2022137883A1 (ja) * | 2020-12-24 | 2022-06-30 | 日本電気株式会社 | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 |
| US11974120B2 (en) * | 2021-01-29 | 2024-04-30 | Adaptive Mobile Security Limited | System and method for securing a communication network |
| US12255774B2 (en) * | 2021-06-15 | 2025-03-18 | Rakuten Mobile, Inc. | Network management apparatus and network management method |
| WO2023042379A1 (ja) * | 2021-09-17 | 2023-03-23 | 日本電気株式会社 | 攻撃分析支援装置、攻撃分析支援方法、及びコンピュータ読み取り可能な記録媒体 |
| CN114116422B (zh) * | 2021-11-19 | 2024-05-24 | 苏州浪潮智能科技有限公司 | 一种硬盘日志分析方法、硬盘日志分析装置及存储介质 |
| US12526323B2 (en) * | 2023-03-14 | 2026-01-13 | Salesforce, Inc. | Self healing network security policy management |
| US12568111B1 (en) | 2024-08-27 | 2026-03-03 | Target Brands, Inc. | Asynchronous cybersecurity event detection platform |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5787177A (en) * | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
| US6408391B1 (en) | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
| WO2002014989A2 (en) | 2000-08-18 | 2002-02-21 | Camelot Information Technologies Ltd. | Permission level generation based on adaptive learning |
| JP2004318552A (ja) * | 2003-04-17 | 2004-11-11 | Kddi Corp | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム |
| JP4523480B2 (ja) * | 2005-05-12 | 2010-08-11 | 株式会社日立製作所 | ログ分析システム、分析方法及びログ分析装置 |
| JP4755658B2 (ja) * | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
| US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
| CN102385549A (zh) * | 2010-09-02 | 2012-03-21 | 北京无限立通通讯技术有限责任公司 | 日志处理系统、日志处理方法和日志存储子系统 |
| US8640245B2 (en) * | 2010-12-24 | 2014-01-28 | Kaspersky Lab, Zao | Optimization of anti-malware processing by automated correction of detection rules |
| JP5732372B2 (ja) | 2011-10-27 | 2015-06-10 | Kddi株式会社 | ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム |
| US8813239B2 (en) | 2012-01-17 | 2014-08-19 | Bitdefender IPR Management Ltd. | Online fraud detection dynamic scoring aggregation systems and methods |
| US8762948B1 (en) * | 2012-12-20 | 2014-06-24 | Kaspersky Lab Zao | System and method for establishing rules for filtering insignificant events for analysis of software program |
| US9106692B2 (en) * | 2013-01-31 | 2015-08-11 | Northrop Grumman Systems Corporation | System and method for advanced malware analysis |
| CN103581180B (zh) * | 2013-10-28 | 2017-01-11 | 深信服网络科技(深圳)有限公司 | 根据攻击日志调整命中特征的方法和装置 |
| US9223972B1 (en) * | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
| US10417031B2 (en) * | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
-
2015
- 2015-03-16 JP JP2016508718A patent/JP6190518B2/ja active Active
- 2015-03-16 EP EP15765105.0A patent/EP3099024B1/en active Active
- 2015-03-16 WO PCT/JP2015/057710 patent/WO2015141630A1/ja not_active Ceased
- 2015-03-16 CN CN201580013675.2A patent/CN106105112B/zh active Active
- 2015-03-16 US US15/119,162 patent/US10104124B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102702108B1 (ko) * | 2023-12-18 | 2024-09-04 | 에스지에이솔루션즈 주식회사 | 보안 취약점의 스캔 결과로부터 침입 차단 시스템의 룰을 추천하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106105112B (zh) | 2019-08-27 |
| US10104124B2 (en) | 2018-10-16 |
| CN106105112A (zh) | 2016-11-09 |
| US20170013018A1 (en) | 2017-01-12 |
| EP3099024A1 (en) | 2016-11-30 |
| EP3099024A4 (en) | 2017-07-05 |
| EP3099024B1 (en) | 2019-01-02 |
| JPWO2015141630A1 (ja) | 2017-04-13 |
| WO2015141630A1 (ja) | 2015-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6190518B2 (ja) | 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| US9900344B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| US10944784B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| KR20120068612A (ko) | Dns 쿼리 트래픽 감시 및 처리 방법과 그 장치 | |
| US10263975B2 (en) | Information processing device, method, and medium | |
| KR101548210B1 (ko) | 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법 | |
| US20180020014A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| US20170134413A1 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
| KR20110022141A (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
| WO2022009274A1 (ja) | セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム | |
| KR20190027122A (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| KR102044181B1 (ko) | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 | |
| KR101753846B1 (ko) | 사용자 맞춤형 로그 타입을 생성하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
| CN108632205A (zh) | 一种针对多种攻击的智能拦截方法和系统 | |
| KR101560820B1 (ko) | 시그니처 기반 어플리케이션 식별 장치 및 방법 | |
| KR20160085606A (ko) | 사이버 공격 경로 분석 방법 및 장치 | |
| Broy | Detection and Mitigation Mechanisms for Attacks in Programmable Data Planes | |
| KR20250099920A (ko) | 회귀보안검사와 행위기반 이상행위 탐지를 이용한 하이브리드 네트워크 검사방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170801 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170804 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6190518 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |