JP6984761B2 - 情報処理装置及び情報処理プログラム - Google Patents
情報処理装置及び情報処理プログラム Download PDFInfo
- Publication number
- JP6984761B2 JP6984761B2 JP2020549949A JP2020549949A JP6984761B2 JP 6984761 B2 JP6984761 B2 JP 6984761B2 JP 2020549949 A JP2020549949 A JP 2020549949A JP 2020549949 A JP2020549949 A JP 2020549949A JP 6984761 B2 JP6984761 B2 JP 6984761B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- attacker
- information processing
- definition information
- actions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Artificial Intelligence (AREA)
- Debugging And Monitoring (AREA)
Description
項1:外部からファイルxをダウンロードした。
項2:ファイルxを実行した。
項3:外部通信が発生した。
項4:リモートログインの通信が発生した。
項5:リモートログインに失敗した。
本発明の実施の形態について説明する。本発明の実施の形態では、取得したログを基に、攻撃者の一連の行動を、形式化し、再構築を行う情報処理装置及び情報処理プログラムについて説明する。本実施の形態として、攻撃者の一連の行動を定義する多くのモデル(Cyber Kill ChainやAttack Life Cycleなど)が存在することから、攻撃自体は異なるものでも、行動が同じであれば形式化可能なパターンが存在するという観点に注目し、攻撃者の一連の行動の形式化と、形式化に従いログからの攻撃者の一連の行動の再構築を実現する技術を説明する。まず、実施の形態における情報システムの一例を説明する。
図1は、実施の形態における情報処理システムの構成の一例を模式的に示す図である。図1に示す情報処理システムは、例えば、ログ保持装置100と、情報処理装置10とが、インターネットや専用線等のネットワークNを介して接続する構成を有する。
次に、情報処理装置10の構成について説明する。図2は、図1に示す情報処理装置10の構成を示すブロック図である。図2に示すように、情報処理装置10は、通信部11、入力部12、出力部13、記憶部14及び制御部15を有する。
図9は、情報処理装置10における処理の流れを示す図である。図9に示すように、要素抽出部151は、調査対象のログの入力を受けると(図9の矢印Y1参照)、入力されたログ毎に抽出要素を抽出して、抽出要素のみから成るログを構文解析部153に出力する(図9の矢印Y3参照)。
次に、情報処理装置10による情報処理方法の処理手順について説明する。図10は、実施の形態に係る情報処理方法の処理手順を示すフローチャートである。
このように、情報処理装置10は、取得したログを基に、攻撃者の一連の行動を、形式化し、再構築を行うことによって、攻撃者の一連の行動に該当するログを出力することができる。このログを使用することによって、分析者は、多数のログを調査・分析して攻撃者の一連の行動を明らかにする処理を行わずとも、攻撃者の一連の行動を、出力されたログから検出できるようになる。したがって、情報処理装置10によれば、従来よりも、インシデント調査に対する分析者の処理負担を軽減することができる。
本実施の形態の実施例を示す。情報処理装置10では、行動を記録したログに現れる特徴的な要素を、形式文法を用いて定義した後に、定義を満たすログ列を、調査対象のログから検出し、検出したログ列に、行動と対応するラベルを付加する。そして、情報処理装置10は、ラベルを付加したログ列を、定義情報が示す順序で配置し、該ログを、攻撃者の一連の行動に該当するログとして出力する。
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図14は、プログラムが実行されることにより、情報処理装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 通信部
12 入力部
13 出力部
14 記憶部
15 制御部
151 要素抽出部
152 生成部
153 構文解析部
154 再構築部
Claims (4)
- 入力されたログ毎に、攻撃者の行動に関する要素を抽出する要素抽出部と、
形式文法を用いて前記攻撃者の行動を定義した定義情報を基に、前記定義情報において定義された行動に該当する特徴を有するログ列をログから検出する構文解析器を生成する生成部と、
前記構文解析器を用いて、前記要素抽出部によって抽出された前記要素から成るログから、前記定義情報において定義された行動に該当する特徴を有するログ列を検出する構文解析部と、
前記構文解析部によって検出されたログ列を再構築し、再構築後の各ログ列に、前記定義情報において定義された行動を表すラベルを付加し、前記ラベルを付加したログ列を、攻撃者の一連の行動に該当するログとして出力する再構築部と、
を有することを特徴とする情報処理装置。 - 前記定義情報は、要素を終端記号として扱った形式文法が用いられることを特徴とする請求項1に記載の情報処理装置。
- 前記定義情報は、前記攻撃者の行動の順序を示す情報を含み、
前記再構築部は、前記ラベルを付加したログ列を、定義情報が示す順序で配置し、該ログを、攻撃者の一連の行動に該当するログとして出力することを特徴とする請求項1に記載の情報処理装置。 - 入力されたログ毎に、攻撃者の行動に関する要素を抽出するステップと、
形式文法を用いて前記攻撃者の行動を定義した定義情報を基に、前記定義情報において定義された行動に該当する特徴を有するログ列をログから検出する構文解析器を生成するステップと、
前記構文解析器を用いて、前記要素するステップにおいて抽出された前記要素から成るログから、前記定義情報において定義された行動に該当する特徴を有するログ列を検出するステップと、
前記検出するステップにおいて検出されたログ列を再構築し、再構築後の各ログ列に、前記定義情報において定義された行動を表すラベルを付加し、前記ラベルを付加したログ列を、攻撃者の一連の行動に該当するログとして出力するステップと、
をコンピュータに実行させるための情報処理プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018192048 | 2018-10-10 | ||
| JP2018192048 | 2018-10-10 | ||
| PCT/JP2019/019976 WO2020075333A1 (ja) | 2018-10-10 | 2019-05-20 | 情報処理装置及び情報処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020075333A1 JPWO2020075333A1 (ja) | 2021-04-30 |
| JP6984761B2 true JP6984761B2 (ja) | 2021-12-22 |
Family
ID=70164211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020549949A Active JP6984761B2 (ja) | 2018-10-10 | 2019-05-20 | 情報処理装置及び情報処理プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11907365B2 (ja) |
| JP (1) | JP6984761B2 (ja) |
| WO (1) | WO2020075333A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA3175792A1 (en) * | 2020-05-05 | 2021-11-11 | Alex BLATE | Endpoint and protocol for trusted digital manufacturing |
| JP7578191B2 (ja) * | 2021-05-12 | 2024-11-06 | 日本電信電話株式会社 | 抽出方法、抽出装置及び抽出プログラム |
| JP7647994B2 (ja) | 2022-02-22 | 2025-03-18 | 日本電信電話株式会社 | 生成装置、生成方法および生成プログラム |
| CN114330190B (zh) * | 2022-03-04 | 2022-05-20 | 北京大学 | 基于多电场模型的时钟驱动fpga芯片全局布局方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080010680A1 (en) * | 2006-03-24 | 2008-01-10 | Shenyang Neusoft Co., Ltd. | Event detection method |
| AU2013263373B2 (en) * | 2012-02-21 | 2015-05-21 | Logos Technologies, Llc | System for detecting, analyzing, and controlling infiltration of computer and network systems |
| US20150205956A1 (en) * | 2012-09-19 | 2015-07-23 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and program |
| US20170223034A1 (en) * | 2016-01-29 | 2017-08-03 | Acalvio Technologies, Inc. | Classifying an email as malicious |
-
2019
- 2019-05-20 WO PCT/JP2019/019976 patent/WO2020075333A1/ja not_active Ceased
- 2019-05-20 US US17/283,552 patent/US11907365B2/en active Active
- 2019-05-20 JP JP2020549949A patent/JP6984761B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20210390178A1 (en) | 2021-12-16 |
| WO2020075333A1 (ja) | 2020-04-16 |
| JPWO2020075333A1 (ja) | 2021-04-30 |
| US11907365B2 (en) | 2024-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kasim | An ensemble classification-based approach to detect attack level of SQL injections | |
| KR102790640B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
| Qian et al. | Lamd: Context-driven android malware detection and classification with llms | |
| Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
| JP5579922B2 (ja) | ラージ・スケール正規表現のマッチングのための二重dfa分解 | |
| JP6984761B2 (ja) | 情報処理装置及び情報処理プログラム | |
| US11574053B1 (en) | System and method for detecting malicious scripts | |
| CN108769081B (zh) | 一种检测xss攻击的方法、装置及计算机可读存储介质 | |
| TWI439097B (zh) | 跨站腳本攻擊產生方法 | |
| Mimura et al. | Static detection of malicious PowerShell based on word embeddings | |
| Naeem et al. | Digital forensics for malware classification: An approach for binary code to pixel vector transition | |
| Noman et al. | A survey on detection and prevention of web vulnerabilities | |
| Wang et al. | Malpacdetector: An llm-based malicious npm package detector | |
| Chen et al. | JsDeObsBench: Measuring and Benchmarking LLMs for JavaScript Deobfuscation | |
| Salzano et al. | An Empirical Analysis of Vulnerability Detection Tools for Solidity Smart Contracts Using Line Level Manually Annotated Vulnerabilities | |
| Carrillo-Mondejar et al. | Automatic analysis architecture of IoT malware samples | |
| Cosovan et al. | A practical guide for detecting the java script-based malware using hidden markov models and linear classifiers | |
| Awang et al. | Automated security testing framework for detecting SQL injection vulnerability in web application | |
| CN113971284B (zh) | 基于JavaScript的恶意网页检测方法、设备及计算机可读存储介质 | |
| Zhou et al. | From Obfuscated to Obvious: A Comprehensive JavaScript Deobfuscation Tool for Security Analysis | |
| Kong et al. | Semantic aware attribution analysis of remote exploits | |
| Chu et al. | SGDL: Smart contract vulnerability generation via deep learning | |
| Jayathilake et al. | Automatic detection of multi-line templates in software log files | |
| Sharma et al. | Review on Detection and Prevention Techniques of Scripting Attacks: Gaps, Challenges and Suggestions | |
| Plohmann | Classification, Characterization, and Contextualization of Windows Malware using Static Behavior and Similarity Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201016 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211026 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6984761 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |