JP7427146B1 - 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム - Google Patents
攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム Download PDFInfo
- Publication number
- JP7427146B1 JP7427146B1 JP2023571392A JP2023571392A JP7427146B1 JP 7427146 B1 JP7427146 B1 JP 7427146B1 JP 2023571392 A JP2023571392 A JP 2023571392A JP 2023571392 A JP2023571392 A JP 2023571392A JP 7427146 B1 JP7427146 B1 JP 7427146B1
- Authority
- JP
- Japan
- Prior art keywords
- attack
- analysis
- target
- target device
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 205
- 230000008859 change Effects 0.000 claims abstract description 40
- 238000000034 method Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 230000036962 time dependent Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
ハニーポットは通常大量の攻撃通信を受信するため、受信した攻撃通信の分析に時間がかかる。攻撃通信はサイバー攻撃を示す通信である。一方、製品に大きな影響が及ぶサイバー攻撃を観測した場合において、すぐに対策を検討するために観測したサイバー攻撃を素早く分析する必要がある。
特許文献1は、時間依存パラメータと、非時間依存パラメータとに基づいてサイバー攻撃に関する優先度を計算する技術を開示している。しかしながら、当該技術によれば、サイバー攻撃による製品への影響を考慮して用意された分析優先度を使用せず、また、観測したサイバー攻撃の内容に応じて分析優先度を変更しない。そのため、当該技術には、対応する分析優先度が高い機器に対するサイバー攻撃を優先的に分析することができないという課題がある。
本開示は、サイバー攻撃による製品への影響を考慮して用意された分析優先度を使用し、また、観測したサイバー攻撃の内容に応じて分析優先度を変更することにより、対応する分析優先度が高い機器に対するサイバー攻撃を優先的に分析することができるようにすることを目的とする。
各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する分析優先度変更部
を備える攻撃分析装置であって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析される。
本明細書において、サイバー攻撃を単に「攻撃」と表記することもある。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
図1は、本実施の形態に係る攻撃分析システム90の構成例を示している。攻撃分析システム90は、図1に示すように、攻撃分析装置100と、ハニーポット200と、外部セキュリティ機関300とを備える。攻撃分析システム90が備える各要素は、ネットワークを介して通信可能に接続している。
具体例として、機器1は重要な情報を保有しているため、機器1に対応する対応する分析優先度が相対的に高い場合を考える。この場合において、機器1が攻撃を受けた場合に、機器1に対する攻撃は迅速に分析される。
別の具体例として、機器2は、特に重要な情報を保有していないため、機器2に対応する分析優先度が相対的に低い場合を考える。この場合において、機器2が攻撃を受けた場合に、機器2に対する攻撃対策の優先度を相対的に低くする。
別の具体例として、攻撃により機器3に関する情報が漏洩した場合に、漏洩した情報に基づく次の攻撃が実行される可能性がある。そのため、次の攻撃に備えて、機器3に対応する分析優先度を相対的に高くする。
ハニーポット200は、攻撃検知部210と、各機器とを備える。ハニーポット200が備える各機器は、各機器のエミュレータ等であってもよい。ハニーポット200は攻撃対象システムに当たる。ハニーポット200は、製品に対応するシステムであってもよい。「機器」を「端末」に読み替えてもよい。攻撃対象システムは、各々に対して分析優先度が設定されている複数の機器を備える。攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析される。攻撃対象機器群は、攻撃対象システムが備える複数の機器から成る。
なお、攻撃分析システム90は、ハニーポット200の代わりに、攻撃対象システムとして実運用しているシステムを備えてもよい。即ち、実運用しているシステムに対するセキュリティ分析製品に用いられる技術として本実施の形態が活用されてもよい。
具体例として、分析優先度変更部130は、攻撃情報DB190と、資産DB191と、関係情報DB192とを適宜参照して、必要に応じて各機器に対応する分析優先度を変更する。通常はハニーポット200に対する攻撃の量が膨大であるため、各機器に対して分析優先度を設定することによって分析対象とする攻撃を絞り込む。分析優先度が相対的に高い機器の数は、計算リソースの量と、攻撃の分析に費やすことができる時間等に応じて定められてもよい。
資産DB191は、資産を示すデータを格納する。資産は、具体例として、各機器と、各機器に格納されているデータとから成る。
関係情報DB192は、関係情報を示すデータを格納する。関係情報は、資産に関係がある情報である。
図2の(a)は、攻撃によってクライアント1からサービスのアカウント情報が漏洩した場合における具体例を示している。本例において、分析優先度変更部130は、サーバ1において当該サービスが稼働しているためにサーバ1に対する不正ログインが今後実行される可能性が高いものとして、サーバ1に対応する分析優先度をより高くする。
図2の(b)は、攻撃によってクライアント1からファイルサーバのアドレス情報(パス情報)が漏洩した場合における具体例を示している。本例において、分析優先度変更部130は、サーバ2において当該ファイルサーバが稼働しているためにサーバ2に対する不正ログインが今後実行される可能性が高いものとして、サーバ2に対応する分析優先度をより高くする。なお、分析優先度変更部130は、文書データが窃取された場合において、窃取された文書データに基づく今後の攻撃がないものと判断して各機器に対応する分析優先度を変更しなくてもよい。
攻撃分析装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサはプロセッサ11の役割を分担する。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
攻撃分析装置100の動作手順は攻撃分析方法に相当する。また、攻撃分析装置100の動作を実現するプログラムは攻撃分析プログラムに相当する。
資産情報作成部120は、資産DB191と、関係情報DB192との各々を作成する。なお、情報の種類に応じて、資産情報作成部120は各DBとして複数のDBを作成してもよい。
図5は、資産DB191に格納されるデータの具体例を示している。本例において、資産情報は、各機器を示す情報と、各機器の構成を示す情報と、各機器が保有するデータを示す情報と、各機器に対応する分析優先度を示す情報とから成る。資産情報作成部120は、資産情報を資産DB191に格納する。また、資産情報作成部120は、各機器に対応する分析優先度を設定し、設定した分析優先度を資産DB191に格納する。分析者等が分析優先度を設定してもよい。分析優先度は、サイバー攻撃による製品への影響を考慮して設定された分析優先度であってもよい。
図6は、関係情報DB192に格納されるデータの具体例を示している。関係情報DB192_1は、アカウント情報の関係情報を示している。関係情報DB192_2は、ファイルサーバのアドレスに関する関係情報を示している。
なお、各機器が保有しているデータが他の機器においても共有されている場合、資産情報作成部120は、共有されているデータを示す情報を関係情報DB192に格納する。
攻撃検知部210は、ハニーポット200に対する攻撃を検知し、検知した攻撃を示すデータを攻撃分析装置100に送信する。
攻撃分析部110は、ハニーポット200から攻撃を示すデータを受信し、受信したデータが示す各攻撃のログを分析することにより各攻撃により不正アクセスされたデータ特定し、特定したデータを示すデータを攻撃情報DB190に格納する。
その後、攻撃分析部110は、資産DB191に格納されている資産情報であって各攻撃における不正アクセス先に対応する資産情報と、外部セキュリティ機関300の攻撃情報等に基づいて今後の攻撃可能性の有無を判定する。攻撃分析部110は、判定した結果を示すデータを攻撃情報DB190に格納する。
図8は、攻撃情報DB190に格納されるデータの具体例を示している。当該データは、各攻撃について、攻撃を受けた機器と、不正にアクセスされたデータと、今後の攻撃可能性とを示す。
なお、資産DB191において、情報ごとに今後の攻撃可能性の有無が事前に設定されていてもよい。具体例として、資産DB191において、アカウントを示す情報に対して今後の攻撃可能性があることを示す情報が設定されている。このとき、攻撃分析部110は、アカウントを示す情報に対する不正アクセスがあった場合に、当該アカウントを示す情報に対応する機器について、今後の攻撃可能性があると判定する。
攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃がある場合、ステップS114が次に実行される。それ以外の場合、ステップS116が次に実行される。
分析優先度変更部130は、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃により不正アクセスされたデータを共有している他の機器を、関係情報DB192から抽出する。図8において、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃は、サービスXのアカウント情報に対する不正アクセスと、サーバ2のアドレス情報に対する不正アクセスとの各々である。
具体例として、図8に示すクライアント1のサービスXのアカウント情報は、関係情報DB192_1に示すようにサーバ1において利用されるデータである。そのため、分析優先度変更部130は、サーバ1が今後攻撃される可能性があると判定する。
別の具体例として、図8に示すサーバ2のアドレス情報は、関係情報DB192_2に示すようにサーバ2内のファイルサーバにアクセスするために利用されるデータである。そのため、分析優先度変更部130は、サーバ2が今後攻撃される可能性があると判定する。
分析優先度変更部130は、攻撃情報DB190において今後の攻撃可能性があると設定されている各攻撃を受けた機器に対応する分析優先度と、ステップS114において関係情報DB192から抽出した各機器に対応する分析優先度とを適宜変更する。
図9は、図5と図6と図8とに対応する図であり、分析優先度を変更する処理の具体例を説明する図である。
具体例として、クライアント1は、攻撃情報DB190において今後の攻撃可能性があると設定されている攻撃を受けた機器に当たる。そのため、分析優先度変更部130は、クライアント1に対応する分析優先度を高くする。また、サーバ1はクライアント1に対する攻撃により漏洩したアカウント情報を利用するサービスXを運用する。そのため、分析優先度変更部130は、サーバ1に対応する分析優先度を高くする。
また、別の具体例として、分析優先度変更部130は、不正アクセスを受けたクライアント1に対応する分析優先度と、クライアント1に対する攻撃により漏洩したアドレス情報を用いてアクセスすることができるサーバ2に対応する分析優先度とを高くする。
攻撃分析システム90が攻撃観測を継続する場合、ステップS111が再度実行される。それ以外の場合、攻撃分析システム90は本フローチャートの処理を終了する。
なお、分析優先度変更部130は、必要に応じて分析優先度を変更してよい。具体例として、ある機器に対して対策を適用することによって当該ある機器に対する今後の攻撃可能性のリスクが低下した場合、分析優先度変更部130は当該ある機器に対応する分析優先度を元の値に変更する。
本実施の形態によれば、資産内容に応じて設定された分析優先度を使用することができ、また、攻撃内容に応じて分析優先度を変更することができる。攻撃の分析対象である各機器に対応する分析優先度を設定することにより、攻撃を分析する作業を効率化することができる。また、攻撃内容に応じて分析優先度を変更することにより、攻撃状況に応じて分析及び対策の優先順位を決めることができる。
本実施の形態を活用することにより、観測した複数の攻撃の中で、分析優先度が相対的に高い機器に対する攻撃を優先的に分析することができる。
さらに、本実施の形態によれば、観測した攻撃に基づいて今後の攻撃において狙われる可能性が高い機器が判明した場合に、狙われる可能性が高い機器に対応する分析優先度を変更することができる。従って、本実施の形態によれば、ある攻撃を足掛かりにして別の攻撃を行うといった複数の段階から成る攻撃に対して対応することができる。具体例として、「情報を収集した後にさらなる攻撃を行う」といった複数の段階から成る攻撃に対して、情報収集されたことを検知した段階において次段階の攻撃において狙われる可能性がある機器に対応する分析優先度を高くすることにより、次段階の攻撃を受けたときに当該機器に対する攻撃を迅速に分析することができる。
<変形例1>
図10は、本変形例に係る攻撃分析装置100のハードウェア構成例を示している。
攻撃分析装置100は、プロセッサ11、プロセッサ11とメモリ12、プロセッサ11と補助記憶装置13、あるいはプロセッサ11とメモリ12と補助記憶装置13とに代えて、処理回路18を備える。
処理回路18は、攻撃分析装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
攻撃分析装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、攻撃分析装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係る攻撃分析装置100についても、本変形例と同様の構成であってもよい。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
図11は、本実施の形態に係る攻撃分析システム90の構成例を示している。本実施の形態に係る攻撃分析装置100は、図11に示すように脆弱性情報DB193をさらに記憶する。攻撃分析装置100は、関係情報DB192を記憶してもよい。
本実施の形態に係る攻撃分析装置100は、ハニーポット200内の各機器が脆弱性をつかれて攻撃を受けた場合において、同様の脆弱性を有する他機器の分析優先度を変更する機能を有する。具体例として、クライアント1に搭載されているソフトウェアaの脆弱性を突いた攻撃を検知した場合に、同じソフトウェアaが搭載されているクライアント2が今後攻撃される可能性が高いものとして、クライアント2に対応する分析優先度を高くする。
以下、事前準備における資産情報作成部120の処理について、実施の形態1との差異を説明する。
資産情報作成部120は、実施の形態1に係るステップS101の処理に加えて下記の処理を実行する。
資産情報作成部120は、資産情報に加えて各機器に搭載されている各FW(firmware)と各SW(software)との各々バージョンを示す情報を資産DB191に格納する。図12は、資産DB191に格納されるデータの具体例を示している。
また、資産情報作成部120は、外部セキュリティ機関300の情報に基づいて脆弱性情報DB193を作成する。図13は、脆弱性情報DB193に格納されるデータの具体例を示している。当該データは、各機器に搭載されているFW及びSWのバージョン毎の脆弱性を示す。
攻撃分析部110は、ハニーポット200から攻撃を示すデータを受信し、受信したデータが示す各攻撃のログを分析することにより各攻撃により不正アクセスされたデータ特定し、特定したデータを示すデータを攻撃情報DB190に格納する。
その後、攻撃分析部110は、資産DB191に格納されている資産情報であって各攻撃における不正アクセス先に対応する資産情報と、外部セキュリティ機関300の攻撃情報等に基づいて、各攻撃において利用された脆弱性を判定する。攻撃分析部110は、判定した結果を示すデータを攻撃情報DB190に格納する。
図15は、攻撃情報DB190に格納されるデータの具体例を示している。
分析優先度変更部130は、攻撃情報DB190と脆弱性情報DB193とを参照し、攻撃分析部110によって判定された脆弱性が他の機器にもあるか否かを判定する。
当該脆弱性が他の機器にもあると判定された場合、ステップS214が次に実行される。それ以外の場合、ステップS116が次に実行される。
分析優先度変更部130は、攻撃情報DB190と脆弱性情報DB193とを参照し、攻撃分析部110によって判定された脆弱性がある他の各機器を関連機器として抽出する。
具体例として、図13及び図15に示すようにクライアント1に搭載されているソフトウェアaは脆弱性を利用されて不正アクセスを受けた。また、クライアント1に搭載されているソフトウェアaのバージョンと同じバージョンであるソフトウェアaがクライアント2に搭載されている。そのため、分析優先度変更部130は、クライアント2がクライアント1に対する攻撃と同様の攻撃を今後受ける可能性があると判定し、クライアント2を関連機器として抽出する。
分析優先度変更部130は、ステップS214において抽出した各関連機器に対応する分析優先度を適宜変更する。
図16は、図12と図13と図15とに対応する図であり、分析優先度を変更する処理の具体例を説明する図である。本例において、分析優先度変更部130は、不正アクセスを受けたクライアント1に対応する分析優先度と、不正アクセスを受けたクライアント1が有する脆弱性と同様の脆弱性を有するクライアント2に対応する分析優先度との各々を高くする。
本実施の形態によれば、攻撃を受けた対象機器が有する脆弱性と同じ脆弱性を有する各機器に対応する分析優先度を、各機器に対する攻撃が観測される前に上げることができる。
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から2で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は適宜変更されてもよい。
Claims (5)
- 各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する分析優先度変更部
を備える攻撃分析装置であって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析され、
前記攻撃対象機器群に含まれている各機器に対応する分析優先度は、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃による前記攻撃対象システムへの影響に対応して設定されており、
前記分析優先度変更部は、前記対象機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている機器のうち、前記対象機器が保有している情報の漏洩によってサイバー攻撃を受ける可能性がある前記対象機器以外の各機器に対応する分析優先度を変更する攻撃分析装置。 - 前記分析優先度変更部は、前記対象攻撃が、前記対象機器が有する脆弱性である対象脆弱性に起因する場合において、前記攻撃対象システムが備える複数の機器のうち、前記対象機器以外の前記対象脆弱性を有する各機器に対応する分析優先度を変更する請求項1に記載の攻撃分析装置。
- 前記攻撃対象システムはハニーポットである請求項1又は2に記載の攻撃分析装置。
- コンピュータが、各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する攻撃分析方法であって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析され、
前記攻撃対象機器群に含まれている各機器に対応する分析優先度は、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃による前記攻撃対象システムへの影響に対応して設定されており、
前記コンピュータは、前記対象機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている機器のうち、前記対象機器が保有している情報の漏洩によってサイバー攻撃を受ける可能性がある前記対象機器以外の各機器に対応する分析優先度を変更する攻撃分析方法。 - 各々に対して分析優先度が設定されている複数の機器を備える攻撃対象システムが備える機器である対象機器がサイバー攻撃である対象攻撃を受けた場合に、前記対象攻撃の内容に応じて前記対象機器に対応する分析優先度を変更する分析優先度変更処理
をコンピュータである攻撃分析装置に実行させる攻撃分析プログラムであって、
前記攻撃対象システムが備える複数の機器を攻撃対象機器群としたとき、前記攻撃対象機器群に含まれている各機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃は、前記攻撃対象機器群に含まれている各機器に対応する分析優先度に応じて順に分析され、
前記攻撃対象機器群に含まれている各機器に対応する分析優先度は、前記攻撃対象機器群に含まれている各機器に対するサイバー攻撃による前記攻撃対象システムへの影響に対応して設定されており、
前記分析優先度変更処理では、前記対象機器がサイバー攻撃を受けた場合において、前記攻撃対象機器群に含まれている機器のうち、前記対象機器が保有している情報の漏洩によってサイバー攻撃を受ける可能性がある前記対象機器以外の各機器に対応する分析優先度を変更する攻撃分析プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2023023773 | 2023-06-27 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP7427146B1 true JP7427146B1 (ja) | 2024-02-02 |
Family
ID=89718082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023571392A Active JP7427146B1 (ja) | 2023-06-27 | 2023-06-27 | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7427146B1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014089609A (ja) | 2012-10-30 | 2014-05-15 | Hitachi Advanced Systems Corp | プログラム解析方法およびプログラム解析システム |
JP2020149390A (ja) | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
-
2023
- 2023-06-27 JP JP2023571392A patent/JP7427146B1/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014089609A (ja) | 2012-10-30 | 2014-05-15 | Hitachi Advanced Systems Corp | プログラム解析方法およびプログラム解析システム |
JP2020149390A (ja) | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9253208B1 (en) | System and method for automated phishing detection rule evolution | |
CN103886252B (zh) | 受信进程地址空间中执行的软件代码的恶意性的选择评估 | |
CN109586282B (zh) | 一种电网未知威胁检测***及方法 | |
US9239922B1 (en) | Document exploit detection using baseline comparison | |
US20090133125A1 (en) | Method and apparatus for malware detection | |
EP3337106B1 (en) | Identification system, identification device and identification method | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
US11048795B2 (en) | System and method for analyzing a log in a virtual machine based on a template | |
US8332941B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
RU2724790C1 (ru) | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине | |
Continella et al. | Prometheus: Analyzing WebInject-based information stealers | |
US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
KR20180081053A (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
US20170155683A1 (en) | Remedial action for release of threat data | |
US8839432B1 (en) | Method and apparatus for performing a reputation based analysis on a malicious infection to secure a computer | |
Bhuiyan et al. | API vulnerabilities: Current status and dependencies | |
TWI817062B (zh) | 使用進程資訊來檢測網頁後門的方法及系統 | |
US8516100B1 (en) | Method and apparatus for detecting system message misrepresentation using a keyword analysis | |
US20220237302A1 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
JP7427146B1 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
US10635811B2 (en) | System and method for automation of malware unpacking and analysis | |
WO2021144978A1 (ja) | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム | |
US20220237303A1 (en) | Attack graph processing device, method, and program | |
JP7180765B2 (ja) | 学習装置、判定装置、学習方法、判定方法、学習プログラムおよび判定プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231116 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231116 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20231116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231226 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240123 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7427146 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |