Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6800744B2 - Whitelisting device - Google Patents
[go: Go Back, main page]

JP6800744B2 - Whitelisting device - Google Patents

Whitelisting device Download PDF

Info

Publication number
JP6800744B2
JP6800744B2 JP2016255757A JP2016255757A JP6800744B2 JP 6800744 B2 JP6800744 B2 JP 6800744B2 JP 2016255757 A JP2016255757 A JP 2016255757A JP 2016255757 A JP2016255757 A JP 2016255757A JP 6800744 B2 JP6800744 B2 JP 6800744B2
Authority
JP
Japan
Prior art keywords
whitelist
activity
terminal
correlation
activities
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016255757A
Other languages
Japanese (ja)
Other versions
JP2018106634A (en
Inventor
信隆 川口
信隆 川口
英勧 冨村
英勧 冨村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016255757A priority Critical patent/JP6800744B2/en
Publication of JP2018106634A publication Critical patent/JP2018106634A/en
Application granted granted Critical
Publication of JP6800744B2 publication Critical patent/JP6800744B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、ホワイトリスト作成装置に係り、業務システムに新規導入される端末に対するホワイトリストを短期間で作成して、システムの可用性を向上させるのに好適なホワイトリスト作成装置に関する。 The present invention relates to a whitelist creating device, and relates to a whitelist creating device suitable for creating a whitelist for a terminal newly introduced in a business system in a short period of time to improve the availability of the system.

近年、情報漏えいや不正アクセスなどの脅威をもたらすコンピュータウイルスやスパイウェア、ボットプログラムといった悪意ある不正プログラム(マルウェア)が増加している。マルウェアの脅威からシステムやネットワークを防御するためには、最初に、マルウェアを検知する必要がある。ここで、マルウェア検知には様々な方法があり、例えば、統計データに基づいてマルウェアを認識する方法があるが、このような方法では、検知に時間がかかるという問題がある。また、高度なマルウェアに対しては検知精度が低下するという問題がある。さらに、ここ数年では、高度なマルウェアを巧みに活用して特定の官庁や企業、組織のネットワークに侵入し、機密情報の窃取やシステム破壊をおこなういわゆる「標的型攻撃」が、セキュリティ上の大きな脅威となっている。 In recent years, malicious malicious programs (malware) such as computer viruses, spyware, and bot programs that pose threats such as information leakage and unauthorized access have been increasing. To protect your system or network from malware threats, you first need to detect malware. Here, there are various methods for detecting malware. For example, there is a method for recognizing malware based on statistical data, but such a method has a problem that it takes time to detect. In addition, there is a problem that the detection accuracy is lowered for advanced malware. Furthermore, in recent years, so-called "targeted attacks" that skillfully utilize advanced malware to infiltrate the networks of specific government offices, companies, and organizations to steal confidential information and destroy systems have become a major security issue. It is a threat.

これらの攻撃に対する対策の一つとして、ホワイトリスト型の対策がある。ホワイトリスト型対策では、システム単位、端末単位、ユーザ単位で、業務に必要な正常な活動(特定のプロセスの起動、特定のWEBサーバへのアクセスなど)を予め定義し、ホワイトリストというデータベースに記録する。そして、ホワイトリスト作成後の業務中に、ホワイトリストに記録されていない活動が発見された場合、活動を実施したシステムや端末・ユーザは、攻撃を受けている可能性があると判断する。 As one of the countermeasures against these attacks, there is a whitelist type countermeasure. In the whitelist type countermeasures, normal activities required for business (starting a specific process, accessing a specific WEB server, etc.) are defined in advance for each system, terminal, and user, and recorded in a database called a whitelist. To do. Then, if an activity not recorded in the whitelist is found during the work after the whitelist is created, it is determined that the system, terminal, or user who carried out the activity may have been attacked.

ホワイトリストの作成方法には様々あるが、最も一般的なものは、攻撃が発生していないことが何らかの手段で保証されている一定期間内に、端末がおこなった活動をホワイトリストに記録する方法である。以下では、ホワイトリスト作成にかかる期間を「学習期間」、学習後、実際にホワイトリストを使って攻撃を検知する期間を「運用期間」と呼称する。 There are various ways to create a whitelist, but the most common is to whitelist the activities performed by the device within a certain period of time when it is guaranteed that no attacks have occurred. Is. In the following, the period required to create a whitelist is referred to as a "learning period", and the period during which an attack is actually detected using the whitelist after learning is referred to as an "operation period".

ここで、ホワイトリスト運用の課題の一つとして、ホワイトリスト作成後の運用期間中に、端末が学習期間に、たまたまおこなわなかった活動を業務の一環として実施した場合、誤検知が発生するということがある。誤検知を防ぐために最も容易に想定しうる対策は、学習期間長くとり、抜け漏れが無いホワイトリストを作ることである。しかしながら、学習期間の長大化は、(1)攻撃が無いことを保証する必要がある期間が増えるため運用コストが増大する(2)学習期間中に攻撃をおこなうマルウェアによる活動が、ホワイトリストに混入するリスクが高くなるという問題が生じる。 Here, as one of the issues of whitelist operation, false detection occurs when the terminal carries out an activity that happened not to be performed during the learning period during the operation period after the whitelist is created. There is. The easiest possible measure to prevent false positives is to take a long learning period and create a whitelist with no omissions. However, the lengthening of the learning period increases the operating cost because (1) the period for which it is necessary to guarantee that there is no attack increases, and (2) the activity by malware that attacks during the learning period is mixed in the whitelist. The problem arises that the risk of doing so increases.

このような問題に対して、特許文献1では、運用期間中、端末でホワイトリストに載っていないプログラムが起動した場合、電子署名などを検証し、害が有るものか否かを判断する。そして、害が無いと判断された場合は、ホワイトリストに追加することにより、誤検知を防止する情報処理システムが開示されている。 In response to such a problem, in Patent Document 1, when a program not listed in the white list is started on the terminal during the operation period, the electronic signature or the like is verified to determine whether or not there is any harm. Then, when it is determined that there is no harm, an information processing system for preventing false detection is disclosed by adding it to the white list.

特開2014−96143号公報Japanese Unexamined Patent Publication No. 2014-96143

特許文献1に記載されたシステムでは、対象となる端末では、あくまで基準となるホワイトリストを作成済みであることを前提としている。しかしながら、実際の業務システムでは、様々な理由で、運用中においても新規端末が導入される。これらの新規端末は、導入時にはホワイトリストを有していないため新規にホワイトリストを作成することが必要になる。このため、頻繁に新規端末が導入されるシステムでは、学習期間中の端末が存在する期間が多くなり、上述のような運用コストの増大や、マルウェアによる活動が混入するという問題点は解決されない。 In the system described in Patent Document 1, it is premised that the target terminal has already created a reference white list. However, in an actual business system, new terminals are introduced even during operation for various reasons. Since these new terminals do not have a whitelist at the time of introduction, it is necessary to create a new whitelist. For this reason, in a system in which new terminals are frequently introduced, the period in which terminals exist during the learning period increases, and the above-mentioned problems of increased operating costs and contamination by malware activities cannot be solved.

本発明の目的は、ホワイトリスト型のセキュリティを導入する業務システムにおいて、新規導入端末へのホワイトリスト作成に必要な学習期間を短縮化するようにして、運用コストを低減し、セキュリティを確保しつつシステムの可用性を向上させることある。 An object of the present invention is to reduce the operation cost and ensure security by shortening the learning period required for creating a whitelist on a newly introduced terminal in a business system that introduces whitelist-type security. May improve system availability.

本発明のホワイトリスト作成装置の構成は、業務システムで実行される活動をホワイトリストとして記録するホワイトリストを作成するホワイトリスト作成装置であって、既存運用端末のホワイトリストを保持する手段と、新規導入端末で一定期間内に発生した活動を記録する手段と、新規導入端末で一定期間内で発生した活動と、既存運用端末のホワイトリストとして記録された活動の相関性を算出する手段とを有するものである。そして、一定期間内で発生した活動と既存運用端末のホワイトリストとして記録された活動の相関性に基づいて関連付け、新規導入端末で一定期間内で発生した活動と、その関連付けられた活動とを前記新規導入端末での新たなホワイトリストとして、記録する。 The configuration of the whitelist creation device of the present invention is a whitelist creation device that creates a whitelist that records activities executed in a business system as a whitelist, and is a means for holding a whitelist of an existing operation terminal and a new one. It has a means of recording activities that occurred within a certain period of time on the introduced terminal, and a means of calculating the correlation between the activities that occurred within a certain period of time on the newly introduced terminal and the activities recorded as a whitelist of existing operation terminals. It is a thing. Then, the activity that occurred within a certain period and the activity recorded as a whitelist of the existing operation terminal are associated based on the correlation, and the activity that occurred within a certain period on the newly introduced terminal and the associated activity are described above. Record as a new whitelist on newly introduced terminals.

本発明によれば、ホワイトリスト型のセキュリティを導入する業務システムにおいて、新規導入端末へのホワイトリスト作成に必要な学習期間を短縮化するようにして、運用コストを低減し、セキュリティを確保しつつシステムの可用性を向上させることができる。 According to the present invention, in a business system that introduces whitelist-type security, the learning period required for creating a whitelist on a newly introduced terminal is shortened to reduce operating costs and ensure security. The availability of the system can be improved.

一実施形態に係る業務システムにおけるホワイトリスト作成の処理概要を示す図である。It is a figure which shows the outline of the process of making a whitelist in the business system which concerns on one Embodiment. 一実施形態に係る業務システムのシステム構成図である。It is a system block diagram of the business system which concerns on one Embodiment. ホワイトリスト作成装置のハードウェア・ソフトウェア構成図である。It is a hardware software configuration diagram of the whitelist making apparatus. 活動記録テーブル100の一例を示す図である。It is a figure which shows an example of the activity record table 100. 既存運用端末ホワイトリスト200の一例を示す図である。It is a figure which shows an example of the existing operation terminal white list 200. 活動相関ルールテーブル300の一例を示す図である。It is a figure which shows an example of the activity correlation rule table 300. 活動相関性テーブル400の一例を示す図である。It is a figure which shows an example of the activity correlation table 400. インスタントホワイトリスト500の一例を示す図である。It is a figure which shows an example of the instant white list 500. 実績記録テーブル600の一例を示す図である。It is a figure which shows an example of the performance record table 600. 活動情報受信部1000の処理を示すフローチャートである。It is a flowchart which shows the process of the activity information receiving part 1000. ホワイトリスト作成部の処理を示すフローチャートである。It is a flowchart which shows the process of a whitelist making part. 活動相関性部の処理を示すフローチャートである。It is a flowchart which shows the processing of the activity correlation part. インスタントホワイトリスト作成部の処理を示すフローチャートである。It is a flowchart which shows the process of the instant white list creation part. 学習スロットの概念を説明する図である。It is a figure explaining the concept of a learning slot.

以下、本発明に係る一実施形態を、図1ないし図14を用いて説明する。 Hereinafter, an embodiment according to the present invention will be described with reference to FIGS. 1 to 14.

本実施形態では、3台の既存運用端末から構成される業務システムを想定する。そして、1台の新規導入端末が導入された際に、既存の3台の端末のホワイトリストを基に、新規導入端末用のホワイトリストであるインスタントホワイトリストを作成するものとする。 In this embodiment, a business system composed of three existing operation terminals is assumed. Then, when one newly introduced terminal is introduced, an instant whitelist, which is a whitelist for newly introduced terminals, is created based on the whitelist of the existing three terminals.

先ず、図1を用いて一実施形態に係る業務システムにおけるホワイトリスト作成の処理概要について説明する。 First, the outline of the whitelist creation process in the business system according to the embodiment will be described with reference to FIG.

先ず、既存運用端末において、学習期間が終了したタイミングでホワイトリストが作成される。ここで、既存運用端末での学習期間の長さを、Ltimeと表記することとする。 First, in the existing operation terminal, a whitelist is created at the timing when the learning period ends. Here, the length of the learning period on the existing operation terminal is referred to as Ltime.

その後、新規導入端末が導入され、インスタントホワイトリストを作成する。インスタントホワイトリストとは、本実施形態の業務システムにおいて、学習期間の活動(上記のように、特定のプロセスの起動、特定のWEBサーバへのアクセスなど、後に詳述)のほかに、既存のホワイトリストに基づいて、作成されるホワイトリストであり、「インスタント」とは、通常のホワイトリストより短期間で作成可能であることを示唆している。インスタントホワイトリストの学習期間の長さの最大値は、Ltime′であるとする。ここで、Ltime′<Ltimeが成り立つ。Ltime′は、あくまで最大値であり、条件によっては、学習はLtime′よりも短い期間で完了する。インスタントホワイトリストは、新規導入端末がLtime′中に発生する活動、既存運用端末のホワイトリストを基に作成される。 After that, a newly introduced terminal is introduced and an instant whitelist is created. The instant whitelist is an existing whitelist in the business system of the present embodiment, in addition to activities during the learning period (as described above, details such as activation of a specific process and access to a specific WEB server). It is a whitelist created based on the list, and "instant" suggests that it can be created in a shorter period of time than a normal whitelist. It is assumed that the maximum value of the learning period length of the instant whitelist is Time'. Here, Ltime'<Ltime holds. Ltime'is the maximum value to the last, and depending on the conditions, learning is completed in a shorter period than Ltime'. The instant whitelist is created based on the activities that occur during Time'for newly introduced terminals and the whitelist of existing operating terminals.

次に、図2および図3を用いて本発明の一実施形態に係る業務システムのシステム構成と、データフローについて説明する。 Next, the system configuration and the data flow of the business system according to the embodiment of the present invention will be described with reference to FIGS. 2 and 3.

本実施形態の業務システムは、図2に示されるように、ホワイトリスト作成装置10、既存運用端末X20a、既存運用端末X20b、既存運用端末Z20c、新規導入端末30、通信ネットワーク40からなる。また、ホワイトリスト作成装置10は、オペレータ50によって操作される。 As shown in FIG. 2, the business system of the present embodiment includes a whitelist creation device 10, an existing operation terminal X20a, an existing operation terminal X20b, an existing operation terminal Z20c, a newly introduced terminal 30, and a communication network 40. Further, the whitelist creation device 10 is operated by the operator 50.

ホワイトリスト作成装置10は、既存運用端末のホワイトリストと新規導入端末のインスタントホワイトリストを作成し、それらを管理する装置である。 The whitelist creation device 10 is a device that creates a whitelist of existing operating terminals and an instant whitelist of newly introduced terminals and manages them.

活動情報受信部1000は、既存運用端末X20a、既存運用端末Y20b、既存運用端末Z20cから活動情報1を受信し、新規導入端末30から活動情報2を受信する。活動情報1、活動情報2には、各端末の活動状況(いつ、どのような活動をおこなったか)の情報が含まれる。活動情報1と活動情報2は、各端末にエージェントプログラムを導入して記録してもよいし、通信ネットワーク40上での通信を取得してもよい。活動の種類としては、プロセス起動、WEB通信、ファイルアクセス、レジストリアクセスなど、通常の端末がおこなう活動が含まれる。活動情報受信部1000は、取得した活動情報を、通信ネットワーク40を介して受信し、活動記録テーブル100に記録する。また、活動情報を送信した端末が運用中の場合は、ホワイトリスト照合の判定結果を実績記録テーブル600に記録する。 The activity information receiving unit 1000 receives the activity information 1 from the existing operation terminal X20a, the existing operation terminal Y20b, and the existing operation terminal Z20c, and receives the activity information 2 from the newly introduced terminal 30. The activity information 1 and the activity information 2 include information on the activity status (when and what kind of activity was performed) of each terminal. The activity information 1 and the activity information 2 may be recorded by introducing an agent program into each terminal, or communication on the communication network 40 may be acquired. Types of activities include activities performed by ordinary terminals, such as process startup, WEB communication, file access, and registry access. The activity information receiving unit 1000 receives the acquired activity information via the communication network 40 and records it in the activity record table 100. Further, when the terminal that has transmitted the activity information is in operation, the determination result of the whitelist collation is recorded in the performance record table 600.

実績記録テーブル600は、運用中の端末のホワイトリストに関する情報を記録するテーブルであり、運用中のホワイトリストに含まれている活動が発生した回数、含まれなかった活動が発生した回数を管理する。 The performance record table 600 is a table that records information about the whitelist of terminals in operation, and manages the number of times that activities included in the whitelist in operation occur and the number of times activities that are not included occur. ..

ホワイトリスト作成部1100は、活動記録テーブル100に格納された活動情報に基づいて、既存運用端末向けのホワイトリストを作成して、既存運用端末ホワイトリスト200に格納する。 The whitelist creation unit 1100 creates a whitelist for existing operation terminals based on the activity information stored in the activity record table 100, and stores it in the existing operation terminal whitelist 200.

活動相関性算出部1200は、既存運用端末ホワイトリスト200と活動相関ルールテーブル300に基づいて、活動間の相関を算出して活動相関性テーブル400に格納する。 The activity correlation calculation unit 1200 calculates the correlation between activities based on the existing operation terminal whitelist 200 and the activity correlation rule table 300, and stores the correlation in the activity correlation table 400.

インスタントホワイトリスト作成部1300は、新規導入端末30の活動記録テーブル100および活動相関性テーブル400を基に、新規導入端末30のインスタントホワイトリストを作成して、インスタントホワイトリスト500に格納する。 The instant whitelist creation unit 1300 creates an instant whitelist of the newly introduced terminal 30 based on the activity record table 100 and the activity correlation table 400 of the newly introduced terminal 30, and stores the instant whitelist in the instant whitelist 500.

既存運用端末X20a、既存運用端末Y20b、既存運用端末Z20c、新規導入端末30は、一般的なパーソナルコンピュータ、サーバ、スマートフォン、モバイル端末など計算機リソース(ハードウェアリソース、ソフトウェアリソース)をもつものがこれに該当する。 The existing operation terminal X20a, the existing operation terminal Y20b, the existing operation terminal Z20c, and the newly introduced terminal 30 have computer resources (hardware resources, software resources) such as general personal computers, servers, smartphones, and mobile terminals. Applicable.

通信ネットワーク40は、WAN(World Area Network)やLAN(Local Area Network)、携帯電話、PHS等と通信する公衆回線網でもよい。各装置間の通信は、通信ネットワーク40を介しておこなわれる。 The communication network 40 may be a public network that communicates with a WAN (World Area Network), a LAN (Local Area Network), a mobile phone, a PHS, or the like. Communication between the devices is performed via the communication network 40.

オペレータ50は、ホワイトリスト作成装置10を、操作部3を介して各部をコントロールする。操作内容としては、既存運用端末ホワイトリストの作成、活動相関性算出、インスタントホワイトリストの作成がある。また、適時、インスタントホワイトリスト500と既存運用端末ホワイトリスト200にアクセスし、ホワイトリストの手動更新など変更を実施する。 The operator 50 controls each unit of the whitelist creation device 10 via the operation unit 3. The operation contents include creating an existing operation terminal whitelist, calculating activity correlation, and creating an instant whitelist. In addition, the instant whitelist 500 and the existing operation terminal whitelist 200 are accessed in a timely manner to make changes such as manually updating the whitelist.

次に、図3を用いてホワイトリスト作成装置10のハードウェア構成とソフトウェア構成について説明する。 Next, the hardware configuration and the software configuration of the whitelist creation device 10 will be described with reference to FIG.

ホワイトリスト作成装置10は、図3に示されるように、CPU(Central Processing Unit)11、主メモリ12、外部記憶装置13、ネットワークI/F(Interface)14、入出力装置15がバス16により接続された構成である。 As shown in FIG. 3, the whitelist creation device 10 is connected to a CPU (Central Processing Unit) 11, a main memory 12, an external storage device 13, a network I / F (Interface) 14, and an input / output device 15 by a bus 16. It is a configured configuration.

CPU11は、ホワイトリスト作成装置10の各部を制御し、主メモリ12内に記憶されているプログラムを実行し、各機能部(活動情報受信部1000、ホワイトリスト作成部1100、活動相関性算出部1200、インスタントホワイトリスト作成部1300)の機能を実現する。 The CPU 11 controls each part of the whitelist making device 10, executes a program stored in the main memory 12, and executes each functional part (activity information receiving part 1000, whitelist making part 1100, activity correlation calculation part 1200). , Instant whitelist creation unit 1300) is realized.

主メモリ12は、揮発性の半導体メモリであり、外部記憶装置13からロードされたプログラム、ワークデータなどを格納する。 The main memory 12 is a volatile semiconductor memory, and stores programs, work data, and the like loaded from the external storage device 13.

外部記憶装置13は、HDD(Hard Disk Drive)、SDD(Solid State Drive)などの磁気記憶装置や不揮発性の半導体記憶装置から構成され、データの長期記憶をおこなうのに用いられる。外部記憶装置13は、ホワイトリスト作成装置10に含まれる各テーブル(活動記録テーブル100、既存運用端末ホワイトリスト200、活動相関ルールテーブル300、活動相関性テーブル400、インスタントホワイトリスト500、実績記録テーブル600)を格納する。また、外部記憶装置13には、ホワイトリストの機能を実現するプログラム群(活動情報受信プログラム31、ホワイトリスト作成プログラム32、活動相関性算出プログラム33、インスタントホワイトリスト作成プログラム34)がインストールされる。活動情報受信プログラム31、ホワイトリスト作成機能プログラム32、活動相関性算出機能プログラム33、インスタントホワイトリスト作成プログラム34は、それぞれ、図2に示した活動情報受信部1000、ホワイトリスト作成部1100、活動相関性算出部1200、インスタントホワイトリスト作成部1300の機能を実現するプログラムである。 The external storage device 13 is composed of a magnetic storage device such as an HDD (Hard Disk Drive) and an SDD (Solid State Drive) and a non-volatile semiconductor storage device, and is used for long-term storage of data. The external storage device 13 includes each table (activity record table 100, existing operation terminal white list 200, activity correlation rule table 300, activity correlation table 400, instant white list 500, achievement record table 600) included in the whitelist creation device 10. ) Is stored. Further, a group of programs (activity information receiving program 31, whitelist creating program 32, activity correlation calculation program 33, instant whitelist creating program 34) that realizes the whitelist function are installed in the external storage device 13. The activity information receiving program 31, the whitelist creating function program 32, the activity correlation calculation function program 33, and the instant whitelist creating program 34 are the activity information receiving unit 1000, the whitelist creating unit 1100, and the activity correlation shown in FIG. 2, respectively. This is a program that realizes the functions of the sex calculation unit 1200 and the instant whitelist creation unit 1300.

ネットワークI/F14は、ホワイトリスト作成装置10を通信ネットワーク40に接続し、データを送受信するインタフェースを取り持つ部分である。 The network I / F 14 is a portion that connects the whitelist creating device 10 to the communication network 40 and has an interface for transmitting and receiving data.

入出力装置15は、ホワイトリスト作成装置10を、ユーザおよび管理者により、各種情報の入力、および格納されている情報の出力をおこなう装置であり、例えば、液晶ディスプレイ、タッチパネル、キーボード、マウス、プリンタなどである。 The input / output device 15 is a device for inputting various information and outputting stored information by the user and the administrator of the white list creating device 10, for example, a liquid crystal display, a touch panel, a keyboard, a mouse, and a printer. And so on.

バス16は、CPU11、メモリ12、外部記憶装置13、ネットワークI/F14、入出力装置15を接続し、機能間の情報のやりとりを実現する。 The bus 16 connects the CPU 11, the memory 12, the external storage device 13, the network I / F 14, and the input / output device 15, and realizes the exchange of information between the functions.

なお、既存運用端末、新規導入端末30のハードウェア構成も、ホワイトリスト作成装置10と同様に、一般のコンピュータで実現することができる。 The hardware configuration of the existing operation terminal and the newly introduced terminal 30 can also be realized by a general computer in the same manner as the whitelist creation device 10.

次に、図4ないし図9を用いてホワイトリスト作成装置が用いるデータ構造について説明する。 Next, the data structure used by the whitelisting apparatus will be described with reference to FIGS. 4 to 9.

活動記録テーブル100は、各端末で発生した活動を記録するためのテーブルであり、図4に示されるように、ID101、活動開始時刻102、活動端末103、活動タイプ104、活動内容105の各フィールドを有する。ID101には、各レコードを一意に識別するための識別子が格納される。活動開始時刻102には、活動が発生した時刻が格納される。活動端末103には、活動を実施した端末を一意に示す識別子が格納される。活動タイプ104には、活動の種類を示す識別子が格納される。具体例としては、プロセス、通信、ファイルアクセス、レジストリアクセスなどがある。活動内容105には、具体的な活動内容の情報が格納され、その内容は、活動タイプ104に依存する。例えば、活動タイプ104がプロセスの場合は、起動したプロセス名が、活動タイプ104が通信の場合は、通信先(URL(Uniform Resource Location)、IP(Internet Protocol)アドレス)などが記録される。 The activity record table 100 is a table for recording the activity generated in each terminal, and as shown in FIG. 4, each field of ID 101, activity start time 102, activity terminal 103, activity type 104, and activity content 105. Has. An identifier for uniquely identifying each record is stored in the ID 101. The activity start time 102 stores the time when the activity occurred. The activity terminal 103 stores an identifier that uniquely indicates the terminal that has performed the activity. The activity type 104 stores an identifier indicating the type of activity. Specific examples include process, communication, file access, and registry access. Information on specific activity content is stored in the activity content 105, and the content depends on the activity type 104. For example, when the activity type 104 is a process, the started process name is recorded, and when the activity type 104 is communication, the communication destination (URL (Uniform Resource Location), IP (Internet Protocol) address) and the like are recorded.

例えば、図4に示した例では、ID101=1のレコードには、活動開始時刻102は「2016−07−16 10:00」、活動端末103は「既存運用端末X」、活動タイプ104は「プロセス」、活動内容105は「P1」が設定されている。また、ID101=4のレコードには、活動開始時刻102は「2016−07−16 10:20」、活動端末103は「既存運用端末Z」、活動タイプ104は「通信」、活動内容105は「WEB1」が設定されている。 For example, in the example shown in FIG. 4, in the record with ID 101 = 1, the activity start time 102 is "2016-07-16 10:00", the activity terminal 103 is "existing operation terminal X", and the activity type 104 is " "P1" is set for "process" and activity content 105. In the record with ID 101 = 4, the activity start time 102 is "2016-07-16 10:20", the activity terminal 103 is "existing operation terminal Z", the activity type 104 is "communication", and the activity content 105 is " WEB1 ”is set.

既存運用端末ホワイトリスト200は、各既存運用端末で生成されたホワイトリストを、各端末ごとに示すリストであり、図5に示されるように、ID201、端末202、ホワイト認定活動203の各フィールドを有する。ID201には、各ホワイトリストを一意に識別するための識別子が格納される。端末202には、対象となる端末を一意に識別するための識別子が格納される。ホワイト認定活動203には、ホワイトリストに含まれる活動が格納される。 The existing operation terminal white list 200 is a list showing the white list generated by each existing operation terminal for each terminal, and as shown in FIG. 5, each field of ID 201, terminal 202, and white certification activity 203 is displayed. Have. The ID 201 stores an identifier for uniquely identifying each whitelist. The terminal 202 stores an identifier for uniquely identifying the target terminal. The activity included in the white list is stored in the white certification activity 203.

図5に示した例では、ID201=1のレコードには、端末202=「既存運用端末X」のホワイト認定活動203は「P1,P3,P4,P5,P10,P14…」であることが示されている。 In the example shown in FIG. 5, the record of ID201 = 1 shows that the white certification activity 203 of the terminal 202 = "existing operation terminal X" is "P1, P3, P4, P5, P10, P14 ...". Has been done.

活動相関ルールテーブル300は、活動の相関を計量するためのルールを格納するテーブルであり、図6に示されるように、ID301、相関条件302、相関値算出303、重み304の各フィールドを有する。ID301には、相関性算出のルールを定めた各レコードを一意に識別するための識別子が格納される。相関条件302には、ある活動が当該レコードの対象に入るか否かを示す条件が格納される。相関値算出303には、具体的な相関性算出方法が格納される。このフィールドには、ピアソン相関係数やコサイン類似度(後述)など、一般的な相関性算出手法を用いてもよいし、独自の手法を用いてもよい。重み304には、相関値算出303の重み付けが格納される。 The activity correlation rule table 300 is a table for storing rules for measuring the correlation of activities, and has ID 301, correlation condition 302, correlation value calculation 303, and weight 304 fields as shown in FIG. The ID 301 stores an identifier for uniquely identifying each record for which the rules for calculating the correlation are defined. The correlation condition 302 stores a condition indicating whether or not an activity is included in the target of the record. A specific correlation calculation method is stored in the correlation value calculation 303. In this field, a general correlation calculation method such as Pearson correlation coefficient or cosine similarity (described later) may be used, or a unique method may be used. The weight 304 stores the weight of the correlation value calculation 303.

以上のように、活動相関ルールテーブル300は、各活動の相関性を定量的に算出するための指標(相関値の算出方法)、および、その重み付けが記録されている。活動の種類によって、算出するべき指標は異なる。例えば、二つの活動が共に、プロセス活動のときには、「プロセス名類似度」で相関を評価され、通信活動のときには、「ドメイン名類似度」で評価される如くである。そして、ある二つの活動の相関値は、相関条件が該当するレコードで求められた相関値算出303の加重平均により決定される。 As described above, the activity correlation rule table 300 records an index (method for calculating the correlation value) for quantitatively calculating the correlation of each activity and its weighting. The index to be calculated differs depending on the type of activity. For example, both of the two activities are evaluated by "process name similarity" when they are process activities, and by "domain name similarity" when they are communication activities. Then, the correlation value of the two activities is determined by the weighted average of the correlation value calculation 303 obtained in the record to which the correlation condition corresponds.

図7に示した例では、ID301=1のレコードは、相関条件302が「全活動」、相関値算出303が「利用端末ベクトルのコサイン類似度」、重み304が「W1」であることを示している。 In the example shown in FIG. 7, the record with ID 301 = 1 indicates that the correlation condition 302 is "all activities", the correlation value calculation 303 is "cosine similarity of the terminal vector used", and the weight 304 is "W1". ing.

相関条件302の設定は、「全活動」となっているので、このレコードは全ての活動の類似度算出に用いられる。 Since the setting of the correlation condition 302 is "all activities", this record is used to calculate the similarity of all activities.

ここで、利用端末ベクトルのコサイン類似度について説明する。利用端末ベクトルとは、個々の端末がその活動を実施したか否か、あるいは、その実施頻度を表現するベクトルである。ある活動の利用端末ベクトルは、各座標に端末の使用の有無を表すフラグを有するベクトルと定義する。本実施形態でのある活動Aの利用端末ベクトルは、(活動Aの既存端末Xの実施の有無,活動Aの既存端末Yの実施の有無,活動Aの既存端末Zの実施の有無)とする。例えば、図5の既存運用端末ホワイトリスト200の例によると、プロセスP1を実施した端末は、既存運用端末Xのみで、既存運用端末Yおよび既存運用端末Zはおこなっていない。このため、プロセスP1の利用端末ベクトルは、v1=(1,0,0)となる。また、同様にプロセスP4は2台の端末で実行されているため、利用端末ベクトルはv2=(1、1、0)となる。最後に、二つの利用端末ベクトルv1、v2のコサイン類似度は、v1・v2/(|v1||v2|)で求める。P1とP2の例では、1/√2となる。ここで、・は、ベクトルの内積を表し、||は、ベクトルの長さを表している。 Here, the cosine similarity of the used terminal vector will be described. The used terminal vector is a vector that expresses whether or not each terminal has carried out the activity, or the frequency of carrying out the activity. The use terminal vector of a certain activity is defined as a vector having a flag indicating whether or not the terminal is used at each coordinate. The terminal vector used for activity A in the present embodiment is (whether or not the existing terminal X of activity A is implemented, whether or not the existing terminal Y of activity A is implemented, and whether or not the existing terminal Z of activity A is implemented). .. For example, according to the example of the existing operation terminal whitelist 200 of FIG. 5, the terminal that executed the process P1 is only the existing operation terminal X, and the existing operation terminal Y and the existing operation terminal Z are not performed. Therefore, the use terminal vector of the process P1 is v1 = (1,0,0). Similarly, since the process P4 is executed by two terminals, the used terminal vector is v2 = (1, 1, 0). Finally, the cosine similarity of the two used terminal vectors v1 and v2 is obtained by v1 · v2 / (| v1 || v2 |). In the example of P1 and P2, it is 1 / √2. Here, · represents the inner product of the vectors, and || represents the length of the vectors.

ID301=2のレコードは、相関条件302が「プロセス活動」、相関値算出303が「プロセス名類似度」、重み304がW2であることを示している。ここでの相関条件302は「プロセス活動」なので、対象となる活動はプロセスのみである。プロセス名類似度は、各プロセスの名前の類似度であり、名称を評価するような任意の指標を用いることができる。具体的には、最小編集距離などの指標がある。 The record with ID 301 = 2 indicates that the correlation condition 302 is "process activity", the correlation value calculation 303 is "process name similarity", and the weight 304 is W2. Since the correlation condition 302 here is "process activity", the target activity is only the process. The process name similarity is the similarity of the name of each process, and any index for evaluating the name can be used. Specifically, there are indicators such as the minimum editing distance.

プロセス活動の相関の算出に際しては、この他にもプロセスの起動元となる実行ファイルのコンテンツの類似性、実行ファイルの作成期間の類似度なども、相関性算出に利用することができる。 In calculating the correlation of process activities, the similarity of the contents of the executable file that is the start source of the process, the similarity of the creation period of the executable file, and the like can also be used for the correlation calculation.

ID301=3のレコードは、相関条件302が「通信活動」、相関値算出303が「ドメイン名類似度」、重み304がW3であることを示している。ここでの相関条件302は「通信活動」なので、対象となる活動は、通信のみである。ドメイン名類似度は、各通信の通信先ドメイン名の類似度であり、名称に関する任意の指標を用いることができる。具体的には、最小編集距離などの指標がある。 The record with ID 301 = 3 indicates that the correlation condition 302 is "communication activity", the correlation value calculation 303 is "domain name similarity", and the weight 304 is W3. Since the correlation condition 302 here is "communication activity", the target activity is only communication. The domain name similarity is the similarity of the communication destination domain name of each communication, and any index related to the name can be used. Specifically, there are indicators such as the minimum editing distance.

通信活動の相関の算出に際しては、この他にもドメイン名を逆引きしたIPアドレスの類似度、レジストラの類似度なども相関性算出に用いることができる。 In calculating the correlation of communication activities, the similarity of IP addresses obtained by reverse lookup of domain names, the similarity of registrars, and the like can also be used in the correlation calculation.

以下、相関値の算出の具体例について説明する。例えば、相関値算出対象となる活動A1、A2が両方ともプロセスに関するものである時、ID301=1、ID302=2のレコードが適用され、相関値は、以下の(式1)で求めることができる。 Hereinafter, a specific example of calculating the correlation value will be described. For example, when the activities A1 and A2 for which the correlation value is calculated are both related to the process, the records of ID301 = 1 and ID302 = 2 are applied, and the correlation value can be obtained by the following (Equation 1). ..

Figure 0006800744
Figure 0006800744

また、活動A1がプロセス、活動A2が通信と、種類が異なる場合は、ID301=1のルールのみが適用されるため、両者の相関値は、コサイン類似度(A1、A2)のみとなる。 Further, when the activity A1 is a process and the activity A2 is a communication, only the rule of ID301 = 1 is applied, so that the correlation value between the two is only the cosine similarity (A1, A2).

活動相関性テーブル400は、各活動が属するクラスタを示したテーブルであり、図7に示されるように、ID401、相関クラスタ402、クラスタ要素403の各フィールドを有する。活動相関性テーブル400の各レコードは、活動相関ルールテーブル300に基づいたクラスタリング処理により、相関性が高いと判断された活動がグルーピングされて記載されている。ID401には、各グループを一意に識別するための識別子が格納される。相関クラスタ402には、各クラスタのクラスタ名称が格納される。クラスタ要素403は、各クラスタに含まれる活動の識別子が格納される。 The activity correlation table 400 is a table showing the clusters to which each activity belongs, and has ID 401, correlation cluster 402, and cluster element 403 fields as shown in FIG. 7. Each record of the activity correlation table 400 is described by grouping the activities judged to have high correlation by the clustering process based on the activity correlation rule table 300. An identifier for uniquely identifying each group is stored in the ID 401. The cluster name of each cluster is stored in the correlation cluster 402. The cluster element 403 stores the identifier of the activity included in each cluster.

図7に示した例では、ID401=1のレコードは、相関クラスタ402が「クラスタ1」、クラスタ要素403が「P4,P10」であるクラスタを示している。 In the example shown in FIG. 7, the record with ID 401 = 1 indicates a cluster in which the correlation cluster 402 is “cluster 1” and the cluster element 403 is “P4, P10”.

インスタントホワイトリスト500は、新規導入端末のホワイトリストを示すテーブルであり、図8に示されるように、ID501、端末502、種別503、ホワイト認定活動504の各フィールドを有する。 The instant white list 500 is a table showing a white list of newly introduced terminals, and has ID 501, terminal 502, type 503, and white certification activity 504 fields as shown in FIG.

ID501には、各レコードを一意に識別するための識別子が格納される。端末502には、対象となる端末の名称または識別子が格納される。種別503には、当該レコードに示されるホワイトリストが、端末が学習期間Ltime′中で実施した活動なのか、あるいは、後述の方法(図13)により追加された活動なのかを示す種別が格納される。前者であれば、種別503には「オリジナル」が、後者であれば「追加」が記載される。図5に示した既存運用端末ホワイトリスト200とは異なり、新規導入端末のインスタントホワイトリストは、複数のレコードにまたがって記載される。 An identifier for uniquely identifying each record is stored in the ID 501. The name or identifier of the target terminal is stored in the terminal 502. In the type 503, a type indicating whether the whitelist shown in the record is an activity carried out by the terminal during the learning period Time'or an activity added by the method (FIG. 13) described later is stored. To. In the former case, the type 503 is described as "original", and in the latter case, "additional" is described. Unlike the existing operation terminal whitelist 200 shown in FIG. 5, the instant whitelist of newly introduced terminals is described over a plurality of records.

図8の例では、ID501=1のレコードは、端末502が「新規導入端末」、種別503が「オリジナル」、ホワイト認定活動504が「P4,P5」であるホワイトリストを示している。 In the example of FIG. 8, the record with ID 501 = 1 shows a white list in which the terminal 502 is "newly introduced terminal", the type 503 is "original", and the white certification activity 504 is "P4, P5".

ID501=2のレコードは、端末502が「新規導入端末」、種別503が「追加」、ホワイト認定活動504が「P10,P14」であるホワイトリストを示している。 The record with ID 501 = 2 shows a white list in which the terminal 502 is "newly introduced terminal", the type 503 is "additional", and the white certification activity 504 is "P10, P14".

本例では、P4、P5を実施した新規導入端末のインスタントホワイトリストに、P10、P14も記載されることが示されている。これは、図7の活動相関性テーブル400に示されているように、P4とP10、およびP5とP14が同じクラスタに含まれるため、それぞれが「追加」で、ホワイトリストに加えられたものである(詳細は、図13により後述)。 In this example, it is shown that P10 and P14 are also included in the instant whitelist of newly introduced terminals that have implemented P4 and P5. This is because P4 and P10, and P5 and P14 are included in the same cluster, as shown in the activity correlation table 400 of FIG. 7, and each is "added" and added to the whitelist. (Details will be described later with reference to FIG. 13).

実績記録テーブルは、各ホワイトリストの運用状況を統計として記録するテーブルであり、図9に示されるように、ID601、端末602、タイプ603、運用開始604、誤アラート数605、一致数606の各フィールドを有する。ID601には、各レコードを一意に識別するための識別子が格納される。端末602には、ホワイトリストが対象とする端末の名称または識別子が格納される。タイプ603には、対象とするホワイトリストの種類が格納される。タイプ603には、既存運用端末向けのホワイトリストなら「通常」、新規導入端末向けのインスタントホワイトリストなら「インスタント」が記載される。運用開始604には、当該ホワイトリストが運用された時期が格納される。誤アラート数605には、運用中に発生したホワイトリストに記載されていない活動のうち、その後の調査によってマルウェアや攻撃には類さないことが明らかになったものの件数が格納される。ここで、「誤アラート」という名称は、ホワイトリストに記載されていない活動が認められたときには、マルウェアでなくとも全てアラートを発生させることによるものである(図10により後述)。一致数606には、運用中に発生したホワイトリストに記載されている活動の数が格納される。 The performance record table is a table that records the operation status of each whitelist as statistics, and as shown in FIG. 9, each of ID601, terminal 602, type 603, operation start 604, false alert number 605, and match number 606. Has a field. An identifier for uniquely identifying each record is stored in the ID 601. The terminal 602 stores the name or identifier of the terminal targeted by the whitelist. Type 603 stores the type of whitelist of interest. In type 603, "normal" is described for a whitelist for existing operation terminals, and "instant" is described for an instant whitelist for newly introduced terminals. The operation start 604 stores the time when the whitelist was operated. The false alert number 605 stores the number of activities that occurred during operation that were not listed in the whitelist and that were found to be not similar to malware or attacks by subsequent investigations. Here, the name "erroneous alert" is due to generating an alert for all activities that are not listed in the whitelist, even if they are not malware (described later with reference to FIG. 10). The number of matches 606 stores the number of whitelisted activities that occurred during operation.

誤アラート数605と比べて一致数606が大きいホワイトリストは、精度が高い良好なホワイトリストと言える。反対に、誤アラート数が大きいホワイトリストは精度が低いホワイトリストであり、再度の学習が必要になる場合がある。 A whitelist having a larger number of matches 606 than the number of false alerts 605 can be said to be a good whitelist with high accuracy. Conversely, a whitelist with a large number of false alerts is a whitelist with low accuracy and may need to be relearned.

そのような場合には、オペレータ50は、実施状況を勘案し、良好なインスタントホワイトリストを、通常ホワイトリストに格上げしてもよい。通常ホワイトリストに格上げされたインスタントホワイトリストは、既存運用端末ホワイトリスト200に転載され、活動相関性テーブル400のレコードの作成に用いられる。 In such a case, the operator 50 may upgrade a good instant whitelist to a normal whitelist in consideration of the implementation situation. The instant whitelist, which is usually upgraded to a whitelist, is reprinted on the existing operation terminal whitelist 200 and used to create a record of the activity correlation table 400.

反対に、精度が低いホワイトリストについて、オペレータ50が運用から得られた知見に従って新しい活動を追加したり、ホワイトリストを破棄して、再度の学習をおこなう場合もある。 On the contrary, for the whitelist with low accuracy, the operator 50 may add a new activity according to the knowledge obtained from the operation, or discard the whitelist and perform learning again.

図9に示された例では、ID601=1のレコードは、端末602=「既存運用端末X」であり、タイプ603=「通常」、運用開始604=「2016/01/01」、誤アラート数605=「34444」、一致数606=「100000」である、ホワイトリストの運用実績を示すレコードを示している。 In the example shown in FIG. 9, the record with ID601 = 1 is terminal 602 = "existing operation terminal X", type 603 = "normal", operation start 604 = "2016/01/01", number of false alerts. It shows a record showing the operation results of the whitelist, in which 605 = "34444" and the number of matches 606 = "100,000".

ID601=4のレコードは、端末602=「新規運用端末」であり、タイプ603=「インスタント」、運用開始604=「2016/09/01」、誤アラート数605=「3」、一致数606=「333013」である、ホワイトリストの運用実績を示すレコードである。 The record of ID601 = 4 is terminal 602 = "new operation terminal", type 603 = "instant", operation start 604 = "2016/09/01", false alert number 605 = "3", match number 606 = It is a record showing the operation results of the white list, which is "333013".

ここで、ID601=1のレコードは、他のレコードに比べて、誤アラート数605が非常に大きい。このため、オペレータ50は、既存運用端末Xを再学習対象と判断する場合がある。 Here, the record with ID601 = 1 has a very large number of false alerts 605 as compared with other records. Therefore, the operator 50 may determine the existing operation terminal X as a re-learning target.

一方、ID601=4のレコードは、他のレコードに比べて、誤アラート数605が小さい。このため、このレコードに示されるインスタントホワイトリストは、通常タイプのホワイトリストに格上げしてもよい。 On the other hand, the record with ID601 = 4 has a smaller number of false alerts 605 than other records. Therefore, the instant whitelist shown in this record may be upgraded to a regular type whitelist.

次に、図10ないし図14を用いてホワイトリスト作成装置の処理について説明する。 Next, the processing of the whitelisting apparatus will be described with reference to FIGS. 10 to 14.

先ず、図10を用いて活動情報受信部1000の処理について説明する。 First, the processing of the activity information receiving unit 1000 will be described with reference to FIG.

活動情報受信部1000は、ホワイトリスト作成装置10の起動中、継続的に実行される。 The activity information receiving unit 1000 is continuously executed during the activation of the whitelist creating device 10.

先ず、活動情報受信部1000は、各端末から活動情報を受信する(S2001)。 First, the activity information receiving unit 1000 receives the activity information from each terminal (S2001).

次に、活動情報受信部1000は、受信した活動情報を活動記録テーブル100に追記する(S2002)。 Next, the activity information receiving unit 1000 adds the received activity information to the activity record table 100 (S2002).

活動情報受信部1000は、活動情報を送信した端末が運用中であるか否かを判断し(S2003)、運用中でない場合(S2003:No)には、すなわち、ホワイトリストの学習中である場合は、S2001に戻る。運用中の場合(S2003:Yes)には、S2004に進む。端末が運用中であるか学習中であるかは、図示しなかったが、システムの端末の運用履歴などを参照することにより知ることが可能である。 The activity information receiving unit 1000 determines whether or not the terminal that has transmitted the activity information is in operation (S2003), and if it is not in operation (S2003: No), that is, if the whitelist is being learned. Returns to S2001. If it is in operation (S2003: Yes), the process proceeds to S2004. Whether the terminal is in operation or learning is not shown, but it can be known by referring to the operation history of the terminal of the system.

活動情報受信部1000は、S2001で受信した活動情報が、当該端末のホワイトリストに含まれるか否かを判断し(S2004)、含まれる場合(S2004:Yes)には、処理S2007に進み、含まれない場合には(S2004:No)、処理S2005に進む。 The activity information receiving unit 1000 determines whether or not the activity information received in S2001 is included in the whitelist of the terminal (S2004), and if it is included (S2004: Yes), proceeds to process S2007 and includes the activity information. If not (S2004: No), the process proceeds to process S2005.

S2004がYesの場合には、活動情報受信部1000は、実績記録テーブル600を更新する(S2008)。この場合には、活動がホワイトリストに含まれるものなので、その分の一致数6060をインクリメントする。 When S2004 is Yes, the activity information receiving unit 1000 updates the performance record table 600 (S2008). In this case, since the activity is included in the whitelist, the number of matches 6060 is incremented accordingly.

S2004がNoの場合には、活動情報受信部1000は、ホワイトリストに含まれない活動に関するアラートをオペレータ50に通知する(S2005)。アラートの通知方法としては、表示装置におけるインタフェース画面への表示、EメールやSNMP(Simple Network Management Protocol)トラップ、独自の通信プロトコルの使用など、一般的にアラート送信に用いられる手段を用いる。 If S2004 is No, the activity information receiving unit 1000 notifies the operator 50 of an alert regarding activities not included in the whitelist (S2005). As the alert notification method, means generally used for alert transmission such as display on an interface screen on a display device, e-mail, SNMP (Simple Network Management Protocol) trap, and use of a unique communication protocol are used.

活動情報受信部1000は、アラートに対するフィードバックをオペレータ50から受信する(S2006)。フィードバックには、アラート対象となった活動がマルウェアや攻撃に類するものか、あるいは誤アラートかの情報が含まれる。 The activity information receiving unit 1000 receives feedback on the alert from the operator 50 (S2006). Feedback includes information on whether the activity being alerted is similar to malware or an attack, or a false alert.

次に、活動情報受信部1000は、実績記録テーブル600を更新する(S2008)。活動がホワイトリストに含まれる場合は、該当レコードの一致数606をインクリメントする。一方、S2006で得られたフィードバックに誤アラートが含まれる場合は、その分の一致数6060をインクリメントする。更新処理の後、S2001に戻る。 Next, the activity information receiving unit 1000 updates the performance record table 600 (S2008). If the activity is included in the whitelist, the number of matches 606 of the corresponding record is incremented. On the other hand, if the feedback obtained in S2006 includes an erroneous alert, the number of matches 6060 is incremented accordingly. After the update process, the process returns to S2001.

次に、図11を用いてホワイトリスト作成部の処理について説明する。 Next, the processing of the whitelist creation unit will be described with reference to FIG.

ホワイトリスト作成部はオペレータ50の操作により実行される。 The whitelist creation unit is executed by the operation of the operator 50.

ホワイトリスト作成部1100は、過去Ltimeの間の、各既存運用中端末の活動を活動記録テーブル100より取得する(S2101)。なお、Ltimeとしては任意の期間を設定できるが、通常の運用では数週間から数か月が妥当の値と考えられる。 The whitelist creation unit 1100 acquires the activity of each existing operating terminal during the past period from the activity record table 100 (S2101). Although any period can be set for Time, it is considered that a reasonable value is several weeks to several months in normal operation.

ホワイトリスト作成部1100は、S2101で取得した活動のうち、発生頻度が一定以上であるものを抽出する(S2102)。例えば、Ltimeの期間中での発生頻度が10回以上である活動を抽出する。 The whitelist creation unit 1100 extracts the activities acquired in S2101 whose frequency of occurrence is at least a certain level (S2102). For example, an activity having an occurrence frequency of 10 times or more during the period of Ltime is extracted.

ホワイトリスト作成部1100は、S2102で抽出した活動をホワイト認定活動203とする既存運用端末ホワイトリスト200の新規レコードを作成・記録する(S2103)。 The whitelist creation unit 1100 creates and records a new record of the existing operation terminal whitelist 200 in which the activity extracted in S2102 is set as the white certification activity 203 (S2103).

次に、図12を用いて活動相関性算出部1200の処理を説明する。 Next, the processing of the activity correlation calculation unit 1200 will be described with reference to FIG.

活動相関性算出部1200は、オペレータ50の操作により実行される。 The activity correlation calculation unit 1200 is executed by the operation of the operator 50.

先ず、活動相関性算出部1200は、既存運用端末ホワイトリスト200中のレコードを読み込む(S2201)。 First, the activity correlation calculation unit 1200 reads the record in the existing operation terminal whitelist 200 (S2201).

活動相関性算出部1200は、読み込んだ複数の活動間の相関値を算出し、相関地に基づきクラスタリングをおこなう(S2202)。 The activity correlation calculation unit 1200 calculates the correlation value between the plurality of read activities and performs clustering based on the correlation area (S2202).

最後に、活動相関性算出部1200は、クラスタリングの結果を、活動相関性テーブルに400に記録する(S2203)。 Finally, the activity correlation calculation unit 1200 records the result of clustering in the activity correlation table at 400 (S2203).

以下、クリスタリングの詳細について説明する。 The details of crystalling will be described below.

相関値の算出には、活動相関ルールテーブル300に定義した各ルールを用いる。図5の既存運用端末ホワイトリスト200に示された例では、P4とP10は、いずれも既存運用端末X、既存運用端末Yで実行されているため、利用端末ベクトルのコサイン類似度が高く、相関値が高いと判断される。同様に、P5とP14、P8とP11も相関値が高いと判断される。逆に、その他の組合せ(例えば、P5とP8)では、相関値は低いと判断される。 Each rule defined in the activity correlation rule table 300 is used for calculating the correlation value. In the example shown in the existing operation terminal whitelist 200 of FIG. 5, since P4 and P10 are both executed by the existing operation terminal X and the existing operation terminal Y, the cosine similarity of the used terminal vector is high and the correlation is high. The value is judged to be high. Similarly, P5 and P14 and P8 and P11 are also judged to have high correlation values. On the contrary, in other combinations (for example, P5 and P8), the correlation value is judged to be low.

クラスタリングに用いる方法は、相関値や距離(一般に、距離は相関値に反比例する)に基づくクラスタリングアルゴリズムであればよく、例えば、K−means法、2−means法、デンドログラムなどが対象となる。クラスタリングアルゴリズムには、個々の要素を集約してクラスタを再帰的に作成していくものと、一つのクラスタを再帰的にサブクラスタに分割していくものがあるが、どちらの方法についても、どこまでクラスタリングをおこなうかの基準が必要になる。この基準については任意に設定してもよいが、ここでは、特に2−means法を用いた場合の基準について説明する。 The method used for clustering may be a clustering algorithm based on a correlation value or a distance (generally, the distance is inversely proportional to the correlation value), and examples thereof include a K-means method, a 2-means method, and a dendrogram. There are two types of clustering algorithms, one that recursively creates a cluster by aggregating individual elements and the other that recursively divides one cluster into subclusters. Criteria for clustering are needed. This standard may be set arbitrarily, but here, the standard when the 2-means method is used will be described.

2−means法では、先ず、すべての活動を含む一つのクラスタを作り、K−means法を適用して再帰的に2分割していく。ここで、あるクラスタC={a1、a2,a3,a4}を、二つのサブクラスタC1={a1、a2}、C2={a3,a4}に分割するべきか否かの基準について述べる。後述の通り、Ltime′中にクラスタ内の一つの活動を実行した新規導入端末は、同一クラスタに含まれる他の活動を全てインスタントホワイトリストに持つことになる(図13により後述)。ここで、Cに含まれる活動を学習期間中に1回以上実施した既存運用端末の集合をHとする。このときC内に含まれる活動のうち、端末h∈Hが実施した活動数を、f(C,h)(≦|C|、ただし、|C|は、Cに含まれる活動の数)とする。f(C,h)が大きい程、そのクラスタには端末が実施する活動が多く含まれることになる。また一方で、不要な活動を登録しないためには、f(C,h)と比較してCのサイズは小さい方が望ましい。このため、あるクラスタCの品質Q(C)を、以下の(式2)で定める。 In the 2-means method, first, one cluster including all activities is formed, and the K-means method is applied to recursively divide into two. Here, the criteria for whether or not a cluster C = {a1, a2, a3, a4} should be divided into two subclusters C1 = {a1, a2}, C2 = {a3, a4} will be described. As will be described later, the newly introduced terminal that has executed one activity in the cluster during Time'has all the other activities included in the same cluster in the instant whitelist (described later with reference to FIG. 13). Here, let H be a set of existing operating terminals that have performed the activities included in C at least once during the learning period. At this time, among the activities included in C, the number of activities performed by the terminal h ∈ H is defined as f (C, h) (≦ | C |, where | C | is the number of activities included in C). To do. The larger f (C, h), the more activities the terminal will carry out in the cluster. On the other hand, in order not to register unnecessary activities, it is desirable that the size of C is smaller than that of f (C, h). Therefore, the quality Q (C) of a certain cluster C is defined by the following (Equation 2).

Figure 0006800744
Figure 0006800744

そして、
Q(C)<Q(C1)+Q(C2)
が成り立つ限り、すなわち、分割した方が品質が高くなる限り、クラスタリングを継続するものとする。
And
Q (C) <Q (C1) + Q (C2)
Clustering shall be continued as long as the above holds, that is, as long as the quality is higher when divided.

次に、図13および図14を用いてインスタントホワイトリスト作成部1300の処理について説明する。 Next, the process of the instant whitelist creation unit 1300 will be described with reference to FIGS. 13 and 14.

インスタントホワイトリスト作成部1300は、オペレータ50の操作により実行される。インスタントホワイトリスト作成部1300は、最大でLtime′(<Ltime)の間の学習期間で、インスタントホワイトリストを作成する。ホワイトリスト作成部1100は、一定間隔で学習および学習結果の検証をおこない、満足な性能が得られた時点で学習を打ち切る。このため、学習効率がよい端末については、Ltime′よりも早期に学習を完了することができる。インスタントホワイトリスト作成部1300は、学習スロットというある期間の間、新規導入端末を動作させ、業務をおこなわせる(S2301)。ここで、学習スロットは、学習期間の小分割単位であり(図14)、以下の(式3)が成り立つ関係にある。
Ltime′=K×学習スロット …(式3)
ただし、Kは、K>1なる整数
Ltime′および学習スロットには任意の期間を設定できるが、想定する代表的な、設定の一つとしては、Ltime=2週間、学習スロット=1日(すなわち、K=14)が考えられる。
The instant whitelist creation unit 1300 is executed by the operation of the operator 50. The instant whitelist creation unit 1300 creates an instant whitelist in a learning period of up to Time'(<Ltime). The whitelist creation unit 1100 performs learning and verification of learning results at regular intervals, and discontinues learning when satisfactory performance is obtained. Therefore, for a terminal with good learning efficiency, learning can be completed earlier than Time'. The instant whitelist creation unit 1300 operates a newly introduced terminal for a certain period of time called a learning slot to perform business (S2301). Here, the learning slot is a subdivision unit of the learning period (FIG. 14), and the following (Equation 3) holds.
Time'= K x learning slot ... (Equation 3)
However, K can set an integer Time'with K> 1 and an arbitrary period for the learning slot, but one of the typical settings to be assumed is Time = 2 weeks and learning slot = 1 day (that is,). , K = 14) is conceivable.

インスタントホワイトリスト作成部1300は、活動記録テーブル100から、過去の1学習スロット分の活動内容を取得する(S2302)。 The instant whitelist creation unit 1300 acquires the activity contents for one past learning slot from the activity record table 100 (S2302).

次に、インスタントホワイトリスト作成部1300は、S2302で取得した活動内容から、発生頻度が一定回数以上のユニークなエントリを抽出し、インスタントホワイトリスト500に追加する(S2303)。なお、種別503は「オリジナル」となる。 Next, the instant whitelist creation unit 1300 extracts unique entries whose frequency of occurrence is a certain number of times or more from the activity contents acquired in S2302 and adds them to the instant whitelist 500 (S2303). The type 503 is "original".

次に、インスタントホワイトリスト作成部1300は、S2303で追加した個々のエントリと同一のクラスタに属する活動を、活動相関性テーブル400から抽出し、インスタントホワイトリスト500に加える(S2304)。なお、この場合は、種別503は「追加」となる。 Next, the instant whitelist creation unit 1300 extracts the activities belonging to the same cluster as the individual entries added in S2303 from the activity correlation table 400 and adds them to the instant whitelist 500 (S2304). In this case, the type 503 is "additional".

例えば、S2303で取得したエントリの一つがP4であった場合、ID401=1にあるP10が追加される(図7参照)。 For example, if one of the entries acquired in S2303 is P4, P10 with ID 401 = 1 is added (see FIG. 7).

インスタントホワイトリスト作成部1300は、全てのエントリに対してS2306を適用し、完了(S2305:Yes)の後、S2306に進む。 The instant whitelist creation unit 1300 applies S2306 to all the entries, and after completion (S2305: Yes), proceeds to S2306.

S2305がYesの場合、インスタントホワイトリスト作成部1300は、総学習期間を示す変数に対して学習スロットを加算する(総学習期間←総学習期間+学習スロット)(S2306)。 When S2305 is Yes, the instant whitelist creation unit 1300 adds a learning slot to a variable indicating the total learning period (total learning period ← total learning period + learning slot) (S2306).

インスタントホワイトリスト作成部1300は、次の学習スロットの期間の間、インスタントホワイトリストを運用する(S2307)。ここでの運用の目的は、現状のインスタントホワイトリストでの性能(誤アラートや一致数)を測定するためのものである。このため、一時的に、当該端末に対するS2003は「Yes」となる。この期間の間は、実績記録テーブル600に実績が記録される。 The instant whitelist creation unit 1300 operates the instant whitelist during the period of the next learning slot (S2307). The purpose of the operation here is to measure the performance (false alerts and number of matches) in the current instant whitelist. Therefore, S2003 for the terminal is temporarily set to "Yes". During this period, the achievements are recorded in the achievement recording table 600.

すなわち、1〜n番目の学習スロットでの学習結果から得られたインスタントホワイトリストの性能を、n+1番目の学習スロットの期間で評価することになる。 That is, the performance of the instant whitelist obtained from the learning results in the 1st to nth learning slots is evaluated in the period of the n + 1th learning slots.

次に、インスタントホワイトリスト作成部1300は、学習スロット期間中で発生した誤アラート数を実績記録テーブル600から取得し、閾値以上であるか否かを判断する(S2308)。誤アラートが閾値以上であり、かつ総学習期間がLtime′未満であるとき(S2308:Yes)、未だ学習の余地があると判断され、処理はS2302に戻る。この場合、誤アラートが閾値以上発生した期間の活動がホワイトリストに追記されることになる。 Next, the instant whitelist creation unit 1300 acquires the number of erroneous alerts generated during the learning slot period from the performance record table 600, and determines whether or not the number is equal to or greater than the threshold value (S2308). When the erroneous alert is equal to or greater than the threshold value and the total learning period is less than Time'(S2308: Yes), it is determined that there is still room for learning, and the process returns to S2302. In this case, the activity during the period when the false alert occurs above the threshold value will be added to the whitelist.

誤アラート数が閾値を超えない、または総学習期間がLtime′以上になった時、学習は完了する。誤アラート数が閾値を超えなくなったとは、インスタントホワイトリストに属していないホワイトリストに含めるべき活動があまり見つからなくなった、すなわち、学習の効果がなくなってきたと考えられるからである。 Learning is completed when the number of false alerts does not exceed the threshold value or when the total learning period exceeds Ltime'. The number of false alerts does not exceed the threshold because it is considered that there are not many activities to be included in the whitelist that do not belong to the instant whitelist, that is, the learning effect has disappeared.

以上述べてきたように、本実施形態のホワイトリスト作成装置は、業務システム内の既存運用端末向けに事前作成されたホワイトリストを分析して相関性が高い活動をクラスタとして分類する。そして、新規導入端末の導入時には、新規導入端末を、既存運用端末の学習期間と比べて短期間の間動作させ、その間に発生した活動、これらの活動と相関性が高いクラスタの活動を、新規導入端末のホワイトリストに格納するものである。 As described above, the whitelist creation device of the present embodiment analyzes the whitelist created in advance for the existing operation terminal in the business system and classifies the highly correlated activities as clusters. Then, when introducing a newly introduced terminal, the newly introduced terminal is operated for a shorter period of time compared to the learning period of the existing operation terminal, and the activities generated during that period and the activities of the cluster that are highly correlated with these activities are newly introduced. It is stored in the whitelist of the installed terminal.

本実施形態のホワイトリスト作成装置は、以下の二つの着眼点に基づくものである。 The whitelisting apparatus of this embodiment is based on the following two points of view.

一つ目の着眼点は、各端末で発生する個々の活動の発生パターンの間には相関性が見られるということである。例えば、ある活動をおこなう端末では、それと相関のある別の活動が一定期間内におこなわれる可能性が高いという関係が存在するということである。 The first point of view is that there is a correlation between the patterns of individual activities that occur at each terminal. For example, in a terminal that performs one activity, there is a relationship that another activity that correlates with it is likely to be performed within a certain period of time.

二つ目の着眼点は、新規導入端末と構成・役割の一部が一致する既存運用端末が業務システム内に存在する可能性は高く、新規導入端末の構成・役割の多くは、全ての既存運用端末の構成・役割の集合の部分集合として捉えられるということである。例えば、ある業務に使用していた古い端末を新しい端末に変えた場合、オペレーティングシステム(OS)構成は変わったとしても、新規端末の業務はこれまでの業務と同じとなる。また、新規端末と同じOS構成を持つ端末が業務システムに存在するということである。 The second point of view is that there is a high possibility that there is an existing operation terminal in the business system that has a part of the configuration and role that matches the newly introduced terminal, and most of the configurations and roles of the newly introduced terminal are all existing. It means that it can be regarded as a subset of the set of configurations and roles of the operation terminal. For example, when an old terminal used for a certain business is changed to a new terminal, the business of the new terminal becomes the same as the previous business even if the operating system (OS) configuration changes. It also means that a terminal having the same OS configuration as the new terminal exists in the business system.

本実施形態のホワイトリスト作成装置は、この二つの着眼点が成り立つ業務システム・端末において、特に有効性を発揮する。 The whitelist creating device of the present embodiment is particularly effective in a business system / terminal in which these two points of view are established.

以上のように、本実施形態では、新規端末の導入のときには、既存運用端末で作成されているホワイトリストを基に、活動の相関性を考慮したクラスタリング処理により、インスタントホワイトリストを作成する。これにより、新規端末の導入のときのホワイトリスト作成の期間、手間を大幅に軽減することができる。 As described above, in the present embodiment, when a new terminal is introduced, an instant white list is created by a clustering process that considers the correlation of activities based on the white list created by the existing operation terminal. As a result, it is possible to significantly reduce the time and effort required to create the whitelist when introducing a new terminal.

1…活動情報、2…活動情報、3…操作部、10…ホワイトリスト作成装置、20a…既存運用端末X、20b…既存運用端末Y、20c…既存運用端末Z、30…新規導入端末、40…通信ネットワーク、50…オペレータ、100…活動記録テーブル、200…既存運用端末ホワイトリスト、300…活動相関ルールテーブル、400…活動相関性テーブル、500…インスタントホワイトリスト、600…実績記録テーブル、1000…活動情報受信部、1100…ホワイトリスト作成部、1200…活動相関性算出部、1300…インスタントホワイトリスト作成部 1 ... Activity information, 2 ... Activity information, 3 ... Operation unit, 10 ... Whitelist creation device, 20a ... Existing operation terminal X, 20b ... Existing operation terminal Y, 20c ... Existing operation terminal Z, 30 ... Newly introduced terminal, 40 ... communication network, 50 ... operator, 100 ... activity record table, 200 ... existing operation terminal whitelist, 300 ... activity correlation rule table, 400 ... activity correlation table, 500 ... instant whitelist, 600 ... achievement record table, 1000 ... Activity information receiving unit, 1100 ... Whitelist creation unit, 1200 ... Activity correlation calculation unit, 1300 ... Instant whitelist creation unit

Claims (7)

業務システムで実行される活動をホワイトリストとして記録するホワイトリストを作成するホワイトリスト作成装置であって、
既存運用端末のホワイトリストを保持する手段と、
新規導入端末で一定期間内に発生した活動を記録する手段と、
新規導入端末で前記一定期間内で発生した活動と、前記既存運用端末のホワイトリストとして記録された活動の相関性を算出する手段とを有し、
前記一定期間内で発生した活動と前記既存運用端末のホワイトリストとして記録された活動の相関性に基づいて関連付け、新規導入端末で前記一定期間内で発生した活動と、その関連付けられた活動とを前記新規導入端末での新たなホワイトリストとして、記録することを特徴とするホワイトリスト作成装置。
It is a whitelist creation device that creates a whitelist that records the activities executed in the business system as a whitelist.
A means to keep a whitelist of existing operating terminals,
A means of recording activities that have occurred within a certain period of time on newly introduced terminals,
It has a means for calculating the correlation between the activity that occurred in the newly introduced terminal within the certain period and the activity recorded as the whitelist of the existing operation terminal.
The activity that occurred within the fixed period and the activity recorded as the whitelist of the existing operation terminal are associated based on the correlation, and the activity that occurred within the fixed period on the newly introduced terminal and the associated activity are associated with each other. A whitelist creating device characterized in that it records as a new whitelist in the newly introduced terminal.
前記一定期間内で発生した活動と前記既存運用端末のホワイトリストとして記録された活動の相関性に基づい関連付けに際しては、前記既存運用端末の前記ホワイトリストの中に記録された活動を、相関性に基づき複数のクラスタにクラスタリングし、前記新規導入端末で前記一定期間内で発生した活動を含むクラスタ内の活動を前記新規導入端末での新たなホワイトリストに取り込むことを特徴とする請求項1記載のホワイトリスト作成装置。 In the association based on the correlation between the activity generated within the fixed period and the activity recorded as the whitelist of the existing operation terminal, the activity recorded in the whitelist of the existing operation terminal is correlated. The first aspect of claim 1, wherein the clustering is performed in a plurality of clusters based on the above, and the activities in the cluster including the activities generated in the newly introduced terminal within the fixed period are taken into a new whitelist in the newly introduced terminal. Whitelisting device. 前記相関性の算出に際しては、個々の活動について、各端末における実施の有無を要素とするベクトルを生成し、前記ベクトル間の類似度が高い二つの活動を相関性が高いと判断することを特徴とする請求項1記載のホワイトリスト作成装置。 In calculating the correlation, a vector is generated for each activity based on the presence or absence of execution at each terminal, and two activities having a high degree of similarity between the vectors are judged to have a high correlation. The whitelist creating device according to claim 1. 前記相関性の算出に際しては、活動の種類がプロセスの場合は、プロセス名の類似度、プロセスの起動元となる実行ファイルのコンテンツの類似性、実行ファイルの作成期間の類似度を用いることを特徴とする請求項1記載のホワイトリスト作成装置。 When calculating the correlation, when the activity type is a process, the similarity of the process name, the similarity of the contents of the executable file that is the start source of the process, and the similarity of the creation period of the executable file are used. The whitelisting apparatus according to claim 1. 前記相関性の算出に際しては、活動の種類が通信の場合は、ドメイン名の類似度、IPアドレスの類似度を用いることを特徴とする請求項1記載のホワイトリスト作成装置。 The whitelist creating apparatus according to claim 1, wherein when the type of activity is communication, the similarity of domain names and the similarity of IP addresses are used in calculating the correlation. 前記一定期間内とは、新規端末導入端末の学習期間であり、
前記学習期間を、複数の時間幅に区切り、前記時間幅ごとに、前記新規導入端末での新たなホワイトリストに取り込まれる活動の数を検証し、その活動の数が一定の閾値以下になったときに、学習期間を終了することを特徴とする請求項1記載のホワイトリスト作成装置。
The fixed period is the learning period of the new terminal introduced terminal.
The learning period was divided into a plurality of time widths, and the number of activities included in the new whitelist on the newly introduced terminal was verified for each time width, and the number of the activities became less than a certain threshold value. The whitelisting apparatus according to claim 1, wherein the learning period is sometimes terminated.
前記既存運用端末の前記ホワイトリストの中に記録された活動のクラスタリングに際して、各々のクラスタの品質を評価し、クラスタの品質の総和が最大となるまでクラスタリングする手法であって、
前記クラスタリングにおける前記クラスタの品質指標は、各既存運用端末が前記クラスタに含まれる活動を実施する数の二乗の総和に比例し、前記クラスタのサイズに反比例することを特徴とする請求項2記載のホワイトリスト作成装置。
It is a method of evaluating the quality of each cluster when clustering the activities recorded in the whitelist of the existing operation terminal, and clustering until the total quality of the clusters is maximized.
The quality index of the cluster in the clustering is proportional to the sum of the squares of the number of activities included in the cluster by each existing operating terminal, and is inversely proportional to the size of the cluster. Whitelisting device.
JP2016255757A 2016-12-28 2016-12-28 Whitelisting device Active JP6800744B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016255757A JP6800744B2 (en) 2016-12-28 2016-12-28 Whitelisting device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016255757A JP6800744B2 (en) 2016-12-28 2016-12-28 Whitelisting device

Publications (2)

Publication Number Publication Date
JP2018106634A JP2018106634A (en) 2018-07-05
JP6800744B2 true JP6800744B2 (en) 2020-12-16

Family

ID=62787885

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016255757A Active JP6800744B2 (en) 2016-12-28 2016-12-28 Whitelisting device

Country Status (1)

Country Link
JP (1) JP6800744B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7028025B2 (en) * 2018-03-30 2022-03-02 日本電気株式会社 Information processing systems, edge devices, and information processing methods
JP6914899B2 (en) 2018-09-18 2021-08-04 株式会社東芝 Information processing equipment, information processing methods and programs
US11288111B2 (en) * 2019-04-18 2022-03-29 Oracle International Corporation Entropy-based classification of human and digital entities
JP2025128966A (en) * 2024-02-22 2025-09-03 三菱電機株式会社 Routine event identification device, routine event identification method, and routine event identification program
CN120729693A (en) * 2024-03-22 2025-09-30 荣耀终端股份有限公司 Accessibility service management and control method, device, chip, electronic device and medium

Also Published As

Publication number Publication date
JP2018106634A (en) 2018-07-05

Similar Documents

Publication Publication Date Title
US20230231875A1 (en) Detecting and mitigating poison attacks using data provenance
US11068588B2 (en) Detecting irregularities on a device
US8479296B2 (en) System and method for detecting unknown malware
US11030311B1 (en) Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise
US10762206B2 (en) Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
US7877806B2 (en) Real time malicious software detection
EP3226169B1 (en) Antivirus signature distribution with distributed ledger
EP2939173B1 (en) Real-time representation of security-relevant system state
JP6800744B2 (en) Whitelisting device
JP2020009415A (en) System and method for identifying a malicious file using a learning model trained on the malicious file
US20080022407A1 (en) Detecting malicious activity
US20180211043A1 (en) Blockchain Based Security for End Points
JP2018530066A (en) Security incident detection due to unreliable security events
US12050694B2 (en) Rule generation apparatus, rule generation method, and computer-readable recording medium
US11019494B2 (en) System and method for determining dangerousness of devices for a banking service
US9444829B1 (en) Systems and methods for protecting computing resources based on logical data models
CN107463841B (en) System and method for detecting malicious computer systems
JP2022002057A (en) Risk assessment system and risk assessment method
US10735457B2 (en) Intrusion investigation
US12348547B2 (en) Supply chain attack detection
RU2510530C1 (en) Method for automatic generation of heuristic algorithms for searching for malicious objects
CN112149126B (en) System and method for determining trust level of file
JP2019008568A (en) Whitelist management system and whitelist management method
US20260105171A1 (en) Adaptable Cybersecurity Playbooks
HK40047318B (en) Malicious program identification method and device, storage medium and electronic apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190926

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200901

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201013

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201125

R150 Certificate of patent or registration of utility model

Ref document number: 6800744

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150