[发明专利]信息处理装置及信息处理方法

说明书

技术领域

涉及将对信息系统的威胁可视化的技术。

背景技术

在现有的威胁可视化方式中，通过规定了被视作威胁的事态的发生顺序的关联规则，判断威胁的发生，并在画面中显示与该关联规则相符的事态群，来向用户进行警告(例如，专利文献1)。

现有技术文献

专利文献

专利文献1：日本特表2004-537075号公报

发明内容

发明要解决的问题

在现有的威胁可视化方式中，存在如果关联规则中规定的事态未全部出现则不向用户显示警告画面这样的问题。

关联规则中规定的事态是在网络设备及服务器和PC(Personal Computer：个人计算机)等计算机中发生的被视作具有恶意的行为的异常事态。

例如传感器检测这样的事态，向用户对画面进行监视的装置通知检测出的事态，但在利用传感器进行的对这些异常事态的检测中，可能会产生检测遗漏。

因此，在现有的威胁可视化方式中，存在如下问题：尽管实际对信息系统进行了攻击，但由于1个事态的检测遗漏而没有满足关联规则，从而没有向用户显示警告。

本发明以解决上述问题为主要目的，其主要目的在于，不使用关联规则，在存在对信息系统进行攻击的可能性的情况下，将攻击的进展状况可视化，来向用户显示警告。

用于解决问题的手段

本发明的信息处理装置的特征在于具有：攻击事态表存储部，其存储攻击事态表，在该攻击事态表中，针对因对信息系统的攻击而发生的多个事态中的各个事态示出发生各个事态时的攻击的进展度；攻击事态进展度串表存储部，其存储攻击事态进展度串表，在该攻击事态进展度串表中，依照攻击序列中的事态的发生模式，将对应的事态的进展度连接起来得到的字符串作为攻击事态进展度串示出；发生事态进展度串导出部，其依照在所述信息系统中发生的事态的发生模式，将对应的事态的进展度连接起来，导出作为字符串的发生事态进展度串；相似度计算部，其计算由所述发生事态进展度串导出部导出的发生事态进展度串与所述攻击事态进展度串表中示出的攻击事态进展度串之间的相似度；以及攻击状况可视化部，其根据由所述发生事态进展度串导出部得到的发生事态进展度串和所述相似度计算部的相似度计算结果，将对所述信息系统的攻击的进展状况可视化。

发明效果

在本发明中，按照在信息系统中发生的事态的发生模式，导出发生事态进展度串，并计算发生事态进展度串与攻击事态进展度串之间的相似度。

此外，在本发明中，根据发生事态进展度串和相似度的计算结果，将对信息系统的攻击的进展状况可视化。

因此，根据本发明，不需要使用关联规则，能够避免因1个事态的检测遗漏而不满足关联规则从而没有向用户显示警告的情况，能够在存在进行攻击的可能性的情况下向用户显示警告。

附图说明

图1是示出实施方式1的信息系统的结构例的图。

图2是示出实施方式1的威胁可视化系统的硬件结构例的图。

图3是示出实施方式1的威胁可视化系统的硬盘内的数据例的图。

图4是示出实施方式1的威胁可视化系统的RAM内的数据例的图。

图5是示出实施方式1的威胁可视化系统的功能结构例的图。

图6是示出实施方式1的攻击事态表的例子的图。

图7是示出实施方式1的过去事例表的例子的图。

图8是示出实施方式1的攻击情景表的例子的图。

图9是示出实施方式1的攻击阶段表的例子的图。

图10是示出实施方式1的安全威胁分布画面的例子的图。

图11是示出实施方式1的安全成长过程显示画面的例子的图。

图12是示出实施方式1的威胁可视化系统的动作的概要的流程图。

图13是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。

图14是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。

图15是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。

图16是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。

图17是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。

图18是示出实施方式1的威胁可视化系统的动作的详细内容的流程图。

具体实施方式

实施方式1.

在本实施方式中，对如下结构进行说明：即使在发生各异常事态的检测遗漏的情况下，在存在进行攻击的可能性时，也向用户显示警告。