JP6165224B2 - アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 - Google Patents
アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 Download PDFInfo
- Publication number
- JP6165224B2 JP6165224B2 JP2015241949A JP2015241949A JP6165224B2 JP 6165224 B2 JP6165224 B2 JP 6165224B2 JP 2015241949 A JP2015241949 A JP 2015241949A JP 2015241949 A JP2015241949 A JP 2015241949A JP 6165224 B2 JP6165224 B2 JP 6165224B2
- Authority
- JP
- Japan
- Prior art keywords
- action
- situation
- user
- information security
- learner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 17
- 238000000034 method Methods 0.000 title description 19
- 230000009471 action Effects 0.000 claims description 172
- 238000007726 management method Methods 0.000 claims description 41
- 238000013210 evaluation model Methods 0.000 claims description 39
- 238000012351 Integrated analysis Methods 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 27
- 230000002159 abnormal effect Effects 0.000 claims description 23
- 230000006399 behavior Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 5
- 230000000875 corresponding effect Effects 0.000 description 4
- 230000002787 reinforcement Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 235000015096 spirit Nutrition 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/68—Gesture-dependent or behaviour-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Description
11 検出モジュール
13 状況感知学習器
15 個人行為モデリング学習器
17 統合分析モジュール
Claims (10)
- アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムであって、
ユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする検出モジュールと、
前記状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するための状況感知学習器と、
前記ユーザに関連する前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するための個人行為モデリング学習器と、
前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するための統合分析モジュールと、
を含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理システム。 - 前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
- 前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
- 前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項1に記載の情報セキュリティー管理システム。
- 前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項4に記載の情報セキュリティー管理システム。
- 検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む情報セキュリティー管理システムに適用されると共に、アプリケーション層ログ分析を基礎とする情報セキュリティー管理方法であって、
前記検出モジュールによりユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーするステップと、
前記状況感知学習器により前記複数の状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するステップと、
前記個人行為モデリング学習器により前記ユーザに関連する前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するステップと、
前記統合分析モジュールにより前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記統合分析モジュールにより前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するステップとを含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理方法。 - 前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
- 前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
- 前記統合分析モジュールは、
前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断するというステップを実行して、前記連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項6に記載の情報セキュリティー管理方法。 - 前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項9に記載の情報セキュリティー管理方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW104138484A TWI615730B (zh) | 2015-11-20 | 2015-11-20 | 以應用層日誌分析為基礎的資安管理系統及其方法 |
TW104138484 | 2015-11-20 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017097819A JP2017097819A (ja) | 2017-06-01 |
JP6165224B2 true JP6165224B2 (ja) | 2017-07-19 |
Family
ID=58721339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015241949A Active JP6165224B2 (ja) | 2015-11-20 | 2015-12-11 | アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20170149800A1 (ja) |
JP (1) | JP6165224B2 (ja) |
TW (1) | TWI615730B (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3791296A1 (en) * | 2018-05-08 | 2021-03-17 | ABC Software, SIA | A system and a method for sequential anomaly revealing in a computer network |
TWI667587B (zh) * | 2018-05-15 | 2019-08-01 | 玉山商業銀行股份有限公司 | 資訊安全防護方法 |
TWI727213B (zh) | 2018-10-08 | 2021-05-11 | 安碁資訊股份有限公司 | 偵測作業系統的異常操作的異常偵測的方法及裝置 |
CN110324316B (zh) * | 2019-05-31 | 2022-04-22 | 河南九域恩湃电力技术有限公司 | 一种基于多种机器学习算法的工控异常行为检测方法 |
CN110460459B (zh) * | 2019-07-03 | 2020-09-04 | 中国南方电网有限责任公司 | 电力监控***网络安全态势感知方法 |
CN110677430B (zh) * | 2019-10-14 | 2020-09-08 | 西安交通大学 | 基于网络安全设备日志数据的用户风险度评估方法和*** |
CN110795705B (zh) * | 2019-10-22 | 2022-07-15 | 武汉极意网络科技有限公司 | 轨迹数据处理方法、装置、设备及存储介质 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7162741B2 (en) * | 2001-07-30 | 2007-01-09 | The Trustees Of Columbia University In The City Of New York | System and methods for intrusion detection with dynamic window sizes |
JP2003280945A (ja) * | 2002-03-19 | 2003-10-03 | Hitachi Information Systems Ltd | ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム |
JP2005332345A (ja) * | 2004-05-21 | 2005-12-02 | Lightwell Co Ltd | 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム |
JP4484643B2 (ja) * | 2004-09-10 | 2010-06-16 | 独立行政法人科学技術振興機構 | 時系列データ異常判定用プログラム及び時系列データ異常判別方法 |
CN101355504B (zh) * | 2008-08-14 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 一种用户行为的确定方法和装置 |
JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
US8572736B2 (en) * | 2008-11-12 | 2013-10-29 | YeeJang James Lin | System and method for detecting behavior anomaly in information access |
US8769684B2 (en) * | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
JP5468837B2 (ja) * | 2009-07-30 | 2014-04-09 | 株式会社日立製作所 | 異常検出方法、装置、及びプログラム |
JP5471859B2 (ja) * | 2010-06-10 | 2014-04-16 | 富士通株式会社 | 解析プログラム、解析方法、および解析装置 |
EP2590102A4 (en) * | 2010-06-30 | 2013-11-27 | Fujitsu Ltd | SYSTEM, PROGRAM AND METHOD FOR HISTORICAL LOG ANALYSIS |
KR20120083196A (ko) * | 2011-01-17 | 2012-07-25 | 서울대학교산학협력단 | 부분적으로 코팅된 구조물 어레이를 구비한 광학 필름 및 그의 제조 방법 |
CN103765820B (zh) * | 2011-09-09 | 2016-10-26 | 惠普发展公司,有限责任合伙企业 | 基于依照事件序列中时间位置的参考基线评估事件的***和方法 |
CN102413013B (zh) * | 2011-11-21 | 2013-11-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
-
2015
- 2015-11-20 TW TW104138484A patent/TWI615730B/zh active
- 2015-12-04 US US14/959,685 patent/US20170149800A1/en not_active Abandoned
- 2015-12-11 JP JP2015241949A patent/JP6165224B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
TW201719484A (zh) | 2017-06-01 |
TWI615730B (zh) | 2018-02-21 |
JP2017097819A (ja) | 2017-06-01 |
US20170149800A1 (en) | 2017-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6165224B2 (ja) | アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 | |
US9954882B2 (en) | Automatic baselining of anomalous event activity in time series data | |
US20180295154A1 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
JP6025753B2 (ja) | パフォーマンス・メトリックを監視するためのコンピュータによって実施される方法、コンピュータ可読記憶媒体、およびシステム | |
US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
RU2017118317A (ru) | Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях | |
EP3341881A1 (en) | Predictive human behavioral analysis of psychometric features on a computer network | |
CN112702342B (zh) | 网络事件处理方法、装置、电子设备及可读存储介质 | |
US10868823B2 (en) | Systems and methods for discriminating between human and non-human interactions with computing devices on a computer network | |
US20140269339A1 (en) | System for analysing network traffic and a method thereof | |
US20170244733A1 (en) | Intrusion detection using efficient system dependency analysis | |
JP2010531553A (ja) | ネットワーク異常検出のための統計的方法およびシステム | |
US9325715B1 (en) | System and method for controlling access to personal user data | |
CN105656693B (zh) | 一种基于回归的信息安全异常检测的方法及*** | |
CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
CN108628740A (zh) | 一种文件描述符泄露检测方法及装置 | |
CN108696486A (zh) | 一种异常操作行为检测处理方法及装置 | |
WO2022115419A1 (en) | Method of detecting an anomaly in a system | |
US11297082B2 (en) | Protocol-independent anomaly detection | |
CN105825130B (zh) | 一种信息安全预警方法及装置 | |
CN110012000B (zh) | 命令检测方法、装置、计算机设备以及存储介质 | |
CN107465652B (zh) | 一种操作行为检测方法、服务器及*** | |
JP2017129894A (ja) | サイバー攻撃検知システム | |
KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
JP2018142197A (ja) | 情報処理装置、方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170522 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170620 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6165224 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |