发明名称 | 攻击检测装置、攻击检测方法以及攻击检测程序 | ||
摘要 | 针对多个事件存储事件阶段信息,所述事件阶段信息存储有在进行针对信息系统的攻击的过程中由信息系统观测的事件、事件前阶段和事件后阶段。接收通知已由信息系统观测到的观测事件的观测事件通知信息。检索记述有通过观测事件通知信息通知的观测事件的事件阶段信息,并检索记述有与检索出的事件阶段信息的事件前阶段对应的事件后阶段、或者与检索出的事件阶段信息的事件后阶段对应的事件前阶段的事件阶段信息,在检索出的事件阶段信息的事件是无法观测的不可观测事件的情况下,视作已观测到不可观测事件,并利用依存关系连接观测事件和不可观测事件来生成事件队列。 | ||
申请公布号 | CN106062765A | 申请公布日期 | 2016.10.26 |
申请号 | CN201480076371.6 | 申请日期 | 2014.02.26 |
申请人 | 三菱电机株式会社 | 发明人 | 居城秀明;河内清人 |
分类号 | G06F21/55(2006.01)I | 主分类号 | G06F21/55(2006.01)I |
代理机构 | 北京三友知识产权代理有限公司 11127 | 代理人 | 李辉;黄纶伟 |
主权项 | 一种攻击检测装置,该攻击检测装置具有:事件阶段信息存储部,其针对多个事件存储事件阶段信息,所述事件阶段信息记述了在进行针对信息系统的攻击的过程中由所述信息系统观测的事件、作为观测所述事件前的攻击的进展阶段的事件前阶段、和作为观测到所述事件后的攻击的进展阶段的事件后阶段;观测事件通知信息接收部,其接收观测事件通知信息,所述观测事件通知信息通知由所述信息系统观测到的观测事件;以及事件队列生成部,其从所述事件阶段信息存储部中检索记述有通过所述观测事件通知信息通知的观测事件的事件阶段信息,从所述事件阶段信息存储部中检索记述有与检索出的事件阶段信息的事件前阶段对应的事件后阶段、或者与检索出的事件阶段信息的事件后阶段对应的事件前阶段的事件阶段信息,在检索出的事件阶段信息的事件是无法观测的不可观测事件的情况下,视作已观测到所述不可观测事件,利用依存关系连接所述观测事件和所述不可观测事件,生成事件队列。 | ||
地址 | 日本东京都 |