攻擊檢測裝置��、攻擊檢測方法以及攻擊檢測程序的制作方法
【專利摘要】針對多個事件存儲事件階段信息���,所述事件階段信息存儲有在進行針對信息系統(tǒng)的攻擊的過程中由信息系統(tǒng)觀測的事件、事件前階段和事件后階段�����。接收通知已由信息系統(tǒng)觀測到的觀測事件的觀測事件通知信息�。檢索記述有通過觀測事件通知信息通知的觀測事件的事件階段信息�,并檢索記述有與檢索出的事件階段信息的事件前階段對應(yīng)的事件后階段���、或者與檢索出的事件階段信息的事件后階段對應(yīng)的事件前階段的事件階段信息�,在檢索出的事件階段信息的事件是無法觀測的不可觀測事件的情況下�,視作已觀測到不可觀測事件,并利用依存關(guān)系連接觀測事件和不可觀測事件來生成事件隊列��。
【專利說明】
攻擊檢測裝置��、攻擊檢測方法以及攻擊檢測程序
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及經(jīng)由網(wǎng)絡(luò)檢測分為多個階段進行的攻擊的攻擊檢測裝置���。
【背景技術(shù)】
[0002]多級攻擊是指攻擊者為了一個目的而進行分為多個階段的攻擊�。以往��,為了檢測該攻擊�����,例如存在如下方法:對IDS(Intrus1n Detect1n System:入侵檢測系統(tǒng))警報那樣的各事件�,定義事件成立的必要條件(這里稱作事件的先決條件)、以及事件引起的狀態(tài)變化(這里稱作事件的結(jié)果)�����,根據(jù)是否能夠生成將事件的結(jié)果成為其他事件的先決條件那樣的事件相連而得到的事件隊列判定是否為攻擊。(例如非專利文獻I)�����。
[0003]具體而言��,在非專利文獻I的方法中��,定義每個預(yù)先檢測的事件的依存關(guān)系�����。例如��,如“在端口掃描的事件后存在實際的攻擊事件��?!蹦菢觼矶x依存關(guān)系��。在該依存關(guān)系的定義中��,針對可能發(fā)生的各事件�,進一步定義先決條件和結(jié)果(在文獻中中為prerequisite,consequence)�����,在另一事件A提供滿足某個事件B的先決條件的結(jié)果的情況下,視作B依存于
A�����。利用這樣的每個事件的依存關(guān)系��,按照依存關(guān)系將觀測到的事件間進行曲線圖化�����,由此�,能夠判定是否發(fā)生了多級攻擊。
[0004]此外�,已經(jīng)提出了即使在事件的檢測存在遺漏的情況下也判定事件的依存關(guān)系的方法(例如專利文獻I)。該方法預(yù)先確定事件的管理對象間的關(guān)系�,判定各個管理對象的事件的依存性。具體而言���,當存在第I管理對象�、依存于在該第I管理對象中發(fā)生的第I事件而發(fā)生第2事件的第2管理對象���、依存于在該第2管理對象中發(fā)生的所述第2事件而發(fā)生第3事件的第3管理對象時�����,求出第I事件的發(fā)生時刻與第3事件的發(fā)生時刻之間的差分���,如果該差分的時間在一定的時間內(nèi)�,則即使第2事件的檢測遺漏���,也能夠判定為在第1�、第3事件間存在依存性��。
[0005]現(xiàn)有技術(shù)文獻
[0006]專利文獻
[0007]專利文獻1:日本特開2012-128811號公報
[0008]非專利文獻
[0009]非專利文獻l:PengNing,Yun Cui ,Douglas S.Reeves���,“Constructing AttackScenar1s through Correlat1n of Intrus1n Alerts”,CCS’02��,November�����,18—22���,2002,Washington,DC,USA.
【發(fā)明內(nèi)容】
[0010]發(fā)明要解決的課題
[0011]在事件中��,由于未被記載于日志�、或基于成本的關(guān)系而不成為監(jiān)視對象等原因,可能包含系統(tǒng)無法觀測的事件�����、或由于檢測遺漏而使得系統(tǒng)無法觀測的事件�����。此時��,在非專利文獻I的方法中�����,存在如下課題:如果原本能夠觀測到則應(yīng)該檢測為事件隊列的攻擊不被視作事件隊列�,從而多級攻擊檢測延遲。
[0012]此外�����,在專利文獻I的方法中�,存在如下課題:在事件的檢測存在遺漏的情況下,雖然能夠判定觀測到的事件間的依存關(guān)系,但無法估計與未被觀測的事件(所述第2事件)之間的依存關(guān)系�����。
[0013]此外�,該專利文獻I的方法公開了如下技術(shù):在事件的檢測存在遺漏的情況下,為了進行依存關(guān)系的判定�����,利用進程分配表保持各事件的管理對象的依存關(guān)系�。因此,存在如下課題:需要保持全部事件的管理對象的依存關(guān)系�����,隨著要管理的事件的數(shù)量增大�����,事件的管理對象的依存關(guān)系爆發(fā)性增加��。
[0014]本發(fā)明正是為了解決上述那樣的課題而完成的��,其目的在于��,進行無法觀測事件的估計�����,生成事件隊列�����,由此判定包含未被觀測的事件在內(nèi)的事件的依存關(guān)系���。
[0015]此外��,本發(fā)明的目的在于���,通過對事件定義先決條件和結(jié)果,動態(tài)調(diào)查與已發(fā)生的事件存在依存關(guān)系的事件���,在不用保持全部事件的管理對象的依存關(guān)系的情況下�����,進行系統(tǒng)無法檢測的事件的估計��,由此�,防止事件的管理對象的依存關(guān)系隨著管理的事件的數(shù)量增大而爆發(fā)性增加。
[0016]用于解決課題的手段
[0017]為了解決以上敘述的課題���,本發(fā)明的攻擊檢測裝置具有:事件階段信息存儲部��,其針對多個事件存儲事件階段信息��,所述事件階段信息記述了在進行針對信息系統(tǒng)的攻擊的過程中由所述信息系統(tǒng)觀測的事件���、作為觀測所述事件前的攻擊的進展階段的事件前階段、和作為觀測到所述事件后的攻擊的進展階段的事件后階段;觀測事件通知信息接收部��,其接收觀測事件通知信息�����,所述觀測事件通知信息通知由所述信息系統(tǒng)觀測到的觀測事件�����;以及事件隊列生成部��,其從所述事件階段信息存儲部中檢索記述有通過所述觀測事件通知信息通知的觀測事件的事件階段信息�,從所述事件階段信息存儲部中檢索記述有與檢索出的事件階段信息的事件前階段對應(yīng)的事件后階段��、或者與檢索出的事件階段信息的事件后階段對應(yīng)的事件前階段的事件階段信息,在檢索出的事件階段信息的事件是無法觀測的不可觀測事件的情況下�����,視作已觀測到所述不可觀測事件���,利用依存關(guān)系連接所述觀測事件和所述不可觀測事件�����,生成事件隊列�。
[0018]發(fā)明的效果
[0019]根據(jù)本發(fā)明���,對各事件定義是否能夠由系統(tǒng)進行觀測的參數(shù)�����,在系統(tǒng)無法觀測事件的情況下���,將相應(yīng)事件視作觀測到的事件,動態(tài)估計與相應(yīng)事件之間的依存關(guān)系來生成事件隊列���,由此即使在包含系統(tǒng)無法觀測的事件的情況下��,也能夠生成事件隊列��,因此�����,具有能夠防止多級攻擊的檢測遺漏的效果�����。
【附圖說明】
[0020]圖1是示出實施方式I的攻擊檢測裝置的一個結(jié)構(gòu)例的結(jié)構(gòu)圖�。
[0021]圖2是示出實施方式I的攻擊檢測裝置的整體處理流程的流程圖。
[0022]圖3是示出攻擊事件定義信息的例子的圖�����。
[0023]圖4是事件數(shù)據(jù)庫5所保存的攻擊事件定義信息9的一例�。
[0024]圖5是示出實施方式I的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖。
[0025]圖6是示出實施方式I的判定部25的處理流程的流程圖���。
[0026]圖7是示出實施方式I的估計部26的處理流程的流程圖��。
[0027]圖8是示出實施方式I的生成部28的處理流程的流程圖�����。
[0028]圖9是示出實施方式2的攻擊檢測裝置的事件隊列生成部的一個結(jié)構(gòu)例的結(jié)構(gòu)圖�。
[0029]圖10是示出實施方式2的估計部26的處理流程的流程圖��。
[0030]圖11是示出實施方式3的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖�����。
[0031 ]圖12是示出實施方式3的估計部26的處理流程的流程圖�����。
[0032]圖13是示出實施方式3的生成部28的處理流程的流程圖�。
[0033]圖14是示出實施方式4的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖。
[0034]圖15是示出實施方式4的估計部26的處理流程的流程圖�����。
[0035]圖16是示出實施方式5的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖�。
[0036]圖17是示出實施方式5的判定結(jié)果表33的保存例的圖。
[0037]圖18是示出實施方式5的判定部25的處理流程的流程圖�。
[0038]圖19是示出實施方式5的結(jié)束判定部32的處理流程的流程圖。
[0039]圖20是示出實施方式5的估計部26的處理流程的流程圖��。
[0040]圖21是示出實施方式5的生成部28的處理流程的流程圖��。
[0041]圖22是示出實施方式6的攻擊檢測裝置I的一個結(jié)構(gòu)例的結(jié)構(gòu)圖。
[0042]圖23是示出實施方式6的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖���。
[0043]圖24是示出實施方式6的攻擊檢測裝置的處理流程的流程圖���。
[0044]圖25是示出實施方式6的判定部25的處理流程的流程圖。
[0045]圖26是示出實施方式6的估計部26的處理流程的流程圖��。
[0046]圖27是示出實施方式6的生成部28的處理流程的流程圖�。
【具體實施方式】
[0047]實施方式1.
[0048]圖1是示出實施方式I的攻擊檢測裝置的一個結(jié)構(gòu)例的結(jié)構(gòu)圖。
[0049]在圖1中�,攻擊檢測裝置I由警報接收部2、警報解釋部3��、事件隊列生成部4��、事件數(shù)據(jù)庫5�、事件檢索部6、事件隊列存儲部7��、檢測狀態(tài)管理部8構(gòu)成���。
[0050]攻擊檢測裝置I根據(jù)從外部得到的檢測警報�����,調(diào)查與已經(jīng)觀測到的攻擊事件之間的依存關(guān)系��,生成事件隊列�����,由此��,檢測多級攻擊�。
[0051]警報接收部2接收從外部檢測到的警報��,向警報解釋部3輸出警報���。警報解釋部3從由警報接收部2接收到的警報中提取與預(yù)先定義的攻擊事件定義信息(后述)對應(yīng)的信息�����,解釋為攻擊事件��,生成觀測事件通知信息(后述)��,將該觀測事件通知信息(解釋結(jié)果的攻擊事件)輸出到事件隊列生成部4���。另外�,警報接收部2和警報解釋部3是觀測事件通知信息接收部的一個結(jié)構(gòu)例�。
[0052]事件隊列生成部4將從警報解釋部3輸入的攻擊事件追加到已觀測的攻擊事件的事件隊列中,生成新的事件隊列�����。此外�����,將所生成的新的事件隊列登記到事件隊列存儲部7中���,并且將保存在事件隊列生成部4內(nèi)的現(xiàn)有的事件隊列更新為新的事件隊列�����。
[0053]事件數(shù)據(jù)庫5保存預(yù)先定義的攻擊事件定義信息(后述)��。事件數(shù)據(jù)庫5是事件階段信息存儲部的一例�,攻擊事件定義信息是事件階段信息的一例�。
[0054]事件檢索部6按照來自警報解釋部3、以及事件隊列生成部4的檢索請求��,檢索事件數(shù)據(jù)庫5,將檢索結(jié)果分別輸出到警報解釋部3���、以及事件隊列生成部4���。
[0055]事件隊列存儲部7存儲由事件隊列生成部4生成的事件隊列。
[0056]檢測狀態(tài)管理部8將基于事件隊列生成部4的事件隊列存儲部7的登記/更新處理的完成通知作為輸入�,根據(jù)事件隊列存儲部7的狀態(tài)判定是否進行了多級攻擊,在進行了多級攻擊的情況下�,通知給外部。
[0057]接著�����,參照圖2說明實施方式I的攻擊檢測裝置的動作�。
[0058]圖2是示出實施方式I的攻擊檢測裝置的處理流程的流程圖��。
[0059]首先�����,在步驟SlOl中���,警報接收部2從外部接收檢測警報���。檢測警報是從與網(wǎng)絡(luò)連接的各種設(shè)備發(fā)送的警告消息�,例如是IDS警報���。在檢測警報中�����,包含發(fā)送目的地的IP地址或端口號��、發(fā)送源的IP地址或端口號��、TCP或UDP等協(xié)議��、檢測到的攻擊事件(登錄�����、端口掃描等)的信息�����。警報接收部2在接收到檢測警報時�,向警報解釋部3輸入警報信息�。
[0060]接著,在步驟S102中,警報解釋部3請求事件檢索部6檢索與警報對應(yīng)的攻擊事件定義信息�。警報解釋部3生成包含所輸入的警報信息中包含的攻擊事件名的檢索請求,向事件檢索部6發(fā)送檢索請求��。
[0061]接著��,在步驟S103中�,事件檢索部6在事件數(shù)據(jù)庫5內(nèi)進行檢索,回送與警報對應(yīng)的攻擊事件定義信息���。事件檢索部6從事件數(shù)據(jù)庫5所保存的攻擊事件定義信息中檢索與檢索請求所包含的攻擊事件匹配的攻擊事件定義信息�,將檢索結(jié)果回送給警報解釋部3��。
[0062]攻擊事件定義信息是預(yù)先定義了與攻擊事件相關(guān)的信息的信息��。
[0063]圖3是示出攻擊事件定義信息的例子的圖�����。
[0064]如圖3的攻擊事件定義信息9那樣���,攻擊事件定義信息由先決條件10、事件11、達成狀態(tài)12��、攻擊概率13�����、可否觀測14構(gòu)成。
[0065]在先決條件10中�����,以謂詞邏輯的形式記述了用于使得在攻擊發(fā)生時發(fā)生事件11的前提條件�。即,在先決條件10中�����,記述了觀測事件11前的攻擊的進展階段(事件前階段)���。例如�,圖3的符號15表示的謂詞邏輯示出了作為先決條件��,是“A登錄到H”的階段�。另外,符號15表示的A�����、H是變量�,通過從觀測事件中得到的值等�����,限定為具體的值(例如“userOOl”等)。
[0066]事件11是在進行對信息系統(tǒng)的攻擊的過程中在信息系統(tǒng)中觀測到的事件�。對事件11定義了事件發(fā)生源16、事件類別17�、事件參數(shù)18。
[0067]事件發(fā)生源16表示將攻擊事件定義信息9作為對象的事件發(fā)生源���。符號19表示作為發(fā)生源而被許可的值�,在該例子中���,通過變量H與先決條件15進行了關(guān)聯(lián)(處于“$ H”的開頭的美元標記($ )表示H為變量)��。
[0068]事件類別17指定了將攻擊事件定義信息9作為對象的事件的類別�。具體的事件類別如符號20那樣指定�。
[0069]事件參數(shù)18表示事件的參數(shù)。在事件參數(shù)18中�����,指定了將攻擊事件定義信息9作為對象的值�����。在圖3所示的例子中,用符號21表示的USER這一名稱的參數(shù)要求取與用符號15表示的變量A相同的值��。
[0070]在觀測事件通知信息中���,與圖3的攻擊事件定義信息9同樣�����,通知事件發(fā)生源�����、事件類別��、事件參數(shù)�。在圖3的攻擊事件定義信息9中�����,雖然未確定事件發(fā)生源16��、事件參數(shù)18的各變量的值�,但在觀測事件通知信息中�����,確定了事件發(fā)生源16、事件參數(shù)18的各變量的值�。
[0071]在發(fā)生了與攻擊事件定義信息9的符號16?18的項目匹配的事件時,達成狀態(tài)12用謂詞邏輯示出攻擊者已達成的狀態(tài)��。即���,在達成狀態(tài)12中���,記述了觀測到與符號16?18的項目匹配的事件后的攻擊的進展階段(事件后階段)。在圖3的例子中�����,符號22示出是“用戶A已獲得主機H的機密”的階段��。
[0072]攻擊概率13表示發(fā)生了與攻擊事件定義信息9的符號16?18的項目匹配的事件時的對信息系統(tǒng)的攻擊的概率��。在圖3的例子中���,如符號23所不�,將概率值定義為0.5��。
[0073]可否觀測14表示事件11是否為系統(tǒng)無法觀測的事件。例如���,如密碼流出那樣未記載于日志的事件�、或由于成本和監(jiān)視負荷的原因而不成為監(jiān)視對象的事件等是不可觀測事件�����。在圖3的例子中��,符號24設(shè)定了表示可觀測的“可”�。此外,在無法觀測的情況下�,設(shè)定“否”。
[0074]以上敘述的攻擊事件定義信息9針對被認為在多級攻擊中發(fā)生的多個事件預(yù)先定義��,以能夠檢索的狀態(tài)保存在事件數(shù)據(jù)庫5內(nèi)��。
[0075]圖4是事件數(shù)據(jù)庫5所保存的攻擊事件定義信息9的一例�����。
[0076]在圖4的保存例中���,除了被定義為攻擊事件定義信息9的信息以外�����,還包含在檢測出攻擊事件時記錄的發(fā)生時刻��、發(fā)生源�、發(fā)送目的地等信息�。發(fā)生源例如是發(fā)送源IP地址,發(fā)送目的地記錄發(fā)送目的地URL�����。另外��,在圖4的保存例中���,示出了檢測攻擊事件前的狀態(tài)��,發(fā)生時刻��、發(fā)生源���、發(fā)送目的地為空白欄。
[0077]接著,在步驟S104中��,警報解釋部3將接收到的檢索結(jié)果的攻擊事件定義信息解釋為與警報對應(yīng)的攻擊事件�����。這里�����,“解釋”的處理是指如下處理:對事件檢索部6的檢索結(jié)果的攻擊事件定義信息代入警報所包含的事件發(fā)生源���、事件類別�、事件參數(shù)的具體值�����,使觀測事件成為能夠作為攻擊事件(觀測事件通知信息)進行處理的數(shù)據(jù)形式�����。
[0078]接著���,在步驟S105中���,警報解釋部3向事件隊列生成部4輸入事件�。警報解釋部3將在步驟S104中從觀測事件解釋的攻擊事件輸入到事件隊列生成部4�����。
[0079]接著�,在步驟S106中�����,事件隊列生成部4從事件隊列存儲部7中檢索能夠追加所輸入的攻擊事件的事件隊列�����。
[0080]接著��,在步驟S107中�,事件隊列生成部4判定是否需要事件估計。事件隊列生成部4在步驟S106中檢索出的結(jié)果是能夠追加的事件隊列不在事件隊列存儲部7中的情況下���,進入“是”的分支���,在步驟S108中進行事件估計。之后將敘述與事件估計相關(guān)的處理的詳情。在可追加的事件隊列在事件隊列存儲部7中的情況下��,事件隊列生成部4判定為不需要事件估計�,進入“否”的分支。
[0081]接著���,在步驟S108中�,事件隊列生成部4請求事件檢索部6檢索所輸入的攻擊事件的先決條件為達成狀態(tài)的事件�,執(zhí)行事件估計的處理。
[0082]接著�����,在步驟S109中��,事件檢索部6在事件數(shù)據(jù)庫5內(nèi)進行檢索�,回送與檢索請求對應(yīng)的攻擊事件定義信息。
[0083]然后���,在步驟SllO中���,事件隊列生成部4利用在步驟S109中檢索出的攻擊事件定義信息,生成事件隊列�,將所生成的事件隊列登記到事件隊列存儲部7內(nèi)��,或者對事件隊列存儲部7內(nèi)的事件隊列進行更新�����。
[0084]接著�,在步驟Slll中�,事件隊列生成部4向檢測狀態(tài)管理部8通知事件隊列已被登記到事件隊列存儲部7或已被更新。
[0085]最后�,在步驟S112中,檢測狀態(tài)管理部8讀取事件隊列存儲部7內(nèi)的狀態(tài)���,如果滿足攻擊的檢測條件,則向外部通知警報��。檢測狀態(tài)管理部8接收來自事件隊列生成部4的通知�,調(diào)查處于事件隊列存儲部7內(nèi)的事件隊列�����,在構(gòu)成事件隊列的各攻擊事件的攻擊概率的合計值為閾值以上的情況下,判定為發(fā)生了多級攻擊并通知給外部��。
[0086]以上為實施方式I的攻擊檢測裝置的整體處理流程�����。
[0087]接著,說明實施方式I的事件隊列生成部4的結(jié)構(gòu)和動作的詳情���。
[0088]首先��,關(guān)于事件隊列生成部4的結(jié)構(gòu)進行說明�����。
[0089]圖5是示出實施方式I的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖�。
[0090]判定部25驗證從警報解釋部3輸入的攻擊事件是否能夠追加到事件隊列存儲部7所登記的事件隊列中�����,在無法追加到事件隊列的情況下���,判定為需要估計未被觀測的事件��。此外��,在能夠追加到事件隊列的情況下��,判定為不需要估計未被觀測的事件����。在判定為需要估計未被觀測的事件的情況下,通過估計部26估計未被觀測的事件�。在不需要估計的情況下,將所輸入的攻擊事件輸入到生成部28�����,生成事件隊列�����。
[0091]估計部26向事件檢索部6請求檢索與所輸入的攻擊事件處于依存關(guān)系的攻擊事件�,接收事件檢索部6的檢索結(jié)果。在檢索結(jié)果的攻擊事件是系統(tǒng)無法觀測的攻擊事件的情況下��,判定為觀測到通過檢索而新得到的攻擊事件���。此時,將輸入到估計部26的攻擊事件存儲到存儲部27中�。將視作已觀測到的攻擊事件的攻擊事件輸入到判定部25,進行是否能夠追加到事件隊列的驗證���。在通過判定部25判定為需要估計的情況下���,進一步輸入到估計部26��,進行攻擊事件的估計����。在通過判定部25判定為不需要估計的情況下����,將所輸入的攻擊事件輸入到生成部28,生成事件隊列���。
[0092]生成部28針對從判定部25或估計部26輸入的攻擊事件����,從存儲部27中調(diào)用依存于所輸入的攻擊事件的攻擊事件��。然后��,對調(diào)用的攻擊事件追加所輸入的攻擊事件�����,生成新的事件隊列�����。將新生成的事件隊列登記到事件隊列存儲部7中。在包含可追加到現(xiàn)有的事件隊列的事件的情況下�����,與現(xiàn)有的事件隊列結(jié)合�����,進行事件隊列存儲部7的更新���。生成部28向檢測狀態(tài)管理部8通知由于生成事件隊列而進行了事件隊列存儲部7的更新����。
[0093 ]接著��,說明事件隊列生成部4的動作的詳情���。
[0094]圖6是示出實施方式I的判定部25的處理流程的流程圖。
[0095]首先���,在步驟S201中�����,警報解釋部3向判定部25輸入事件X��。這里����,事件X是圖3的步驟S105中的攻擊事件(觀測事件通知信息)。
[0096]接著��,在步驟S202中��,判定部25確認事件X是否具有先決條件����,在具有先決條件的情況下,通過“是”的分支����,進入步驟S203。在不具有先決條件的情況下��,通過“否”的分支����,進入步驟S209��。
[0097]接著��,在步驟S203中�����,判定部25請求事件檢索部6檢索包含事件X的先決條件為達成狀態(tài)的事件的事件隊列�,從事件隊列存儲部7中進行檢索�。
[0098]然后,在步驟S204中���,判定部25判斷是否存在符合檢索請求的事件隊列���,在存在符合檢索請求的事件隊列的情況下,通過“是”的分支��,進入步驟S205�����。在不存在符合檢索請求的事件隊列的情況下��,通過“否”的分支���,進入步驟S207��。
[0099]接著���,在步驟S205中,判定部25將事件X判定為可追加到現(xiàn)有的事件隊列�,在步驟S206中,將事件X輸入到生成部28���,結(jié)束處理��。
[0100]此外����,在步驟S204中不存在符合檢索請求的事件隊列時����,在步驟S207中,判定部25判定為需要估計事件�����,在步驟S208中,將事件X輸入到估計部26����,結(jié)束處理。
[0101]此外��,在步驟S202中事件X是不具有先決條件的事件的情況下���,在步驟S209中�����,判定部25判定為是新的事件隊列���,在步驟S210中,將輸入事件X輸入到生成部28����,結(jié)束處理。[0?02] 如上所述��,輸入到判定部25的事件X通過判定部25內(nèi)的處理而被輸入到估計部26或生成部28�。
[0103]接著,說明將事件X輸入到估計部26的情況下的動作��。
[0104]圖7是示出實施方式I的估計部26的處理流程的流程圖。
[0105]首先����,在步驟S301中�,判定部25向估計部26輸入事件X。
[0106]接著��,在步驟S302中��,估計部26請求事件檢索部6檢索事件X的先決條件為達成狀態(tài)的事件����,從事件數(shù)據(jù)庫5中進行檢索。
[0107]然后�����,在步驟S303中�����,估計部26判斷是否存在符合檢索請求的事件�����,在存在符合檢索請求的事件的情況下(這里假設(shè)不存在兩個以上的相應(yīng)事件),通過“是”的分支���,進入步驟S304��。在不存在符合檢索請求的事件的情況下����,通過“否”的分支����,進入步驟S309。
[0108]接著����,在步驟S304中,估計部26從事件檢索部6中得到符合檢索請求的事件X’��。
[0109]然后�����,在步驟S305中�,估計部26根據(jù)可否觀測的設(shè)定,確認事件X’是否為無法觀測的事件����,在是無法觀測的事件時�����,通過“是”的分支�,進入步驟S306�����。在是能夠觀測的事件的情況下�����,通過“否”的分支����,進入步驟S309���。
[0110]接著�����,在步驟S306中�����,估計部26將事件X’判定為已觀測的事件���,在步驟S307中�����,將所輸入的事件X存儲到存儲部27中���,在步驟S308中,將事件X’輸入到判定部��,結(jié)束處理�����。
[0111]此外��,在步驟S305中事件X’是能夠觀測事件的情況下����,或者在步驟S303中不存在符合檢索請求的事件的情況下,在步驟S309中,估計部26將所輸入的事件X判定為新的事件隊列��,在步驟S310中�����,將事件X輸入到生成部25���,結(jié)束處理�。
[0112]接著�����,說明通過判定部25或估計部26內(nèi)的處理而向生成部28輸入了事件X的情況下的動作��。
[0113]圖8是示出實施方式I的生成部28的處理流程的流程圖�。
[0114]首先���,在步驟S401中��,判定部25或估計部26向生成部28輸入事件X�����。
[0115]接著���,在步驟S402中�����,生成部28確認所輸入的事件X是否被判定部25或估計部26判定為新的事件隊列����,在判定為新的事件隊列的情況下�,通過“是”的分支,進入步驟S403���。在判定為不是新的事件隊列的情況下����,通過“否”的分支�,進入步驟S406。
[0116]接著����,在步驟S403中,生成部28從存儲部27中調(diào)用與事件X處于依存關(guān)系的事件�����。此時,依存關(guān)系通過存儲部27所存儲的事件的先決條件���、以及達成狀態(tài)的關(guān)系確定���。
[0117]接著,在步驟S404中����,生成部28根據(jù)從存儲部27調(diào)用的各事件的先決條件和達成狀態(tài),生成事件隊列��,作為新的事件隊列登記到事件隊列存儲部7中����。
[0118]然后,在步驟S405中�,生成部28向檢測狀態(tài)管理部8通知已進行了事件隊列存儲部7的更新���,結(jié)束處理���。
[0119]此外,在步驟S402中判定為不是新的事件隊列的情況下,在步驟S406中���,生成部28確認所輸入的事件X是否被判定部25或估計部26判定為可追加到現(xiàn)有的事件隊列�����,在判定為可追加的情況下����,通過“是”的分支���,進入步驟S407���。在判定為不能追加的情況下,通過“否”的分支��,結(jié)束處理���。
[0120]接著�,在步驟S407中�����,生成部28從存儲部27中調(diào)用與事件X處于依存關(guān)系的事件。此時��,依存關(guān)系通過存儲部27所存儲的事件的先決條件����、以及達成狀態(tài)的關(guān)系確定。
[0121]接著�,在步驟S408中,生成部28向包含所輸入的事件X的先決條件為達成狀態(tài)的事件的事件隊列中追加事件X���。
[0122]接著���,在步驟S409中,生成部28根據(jù)從存儲部27調(diào)用的各事件的先決條件和達成狀態(tài)���,生成事件隊列����,對在步驟S408中追加事件X后的事件隊列���,依次進行追加處理。
[0123]接著�����,在步驟S410中,生成部28用追加后的事件隊列更新事件隊列存儲部7內(nèi)的追加前的事件隊列����,進行步驟S405的處理,結(jié)束處理����。
[0124]如上所述,本實施方式I的發(fā)明對各事件定義是否能夠由系統(tǒng)進行觀測的參數(shù)���,在系統(tǒng)無法觀測事件的情況下�,將相應(yīng)事件視作觀測到的事件�����,動態(tài)估計與相應(yīng)事件之間的依存關(guān)系生成事件隊列�,由此,即使在包含系統(tǒng)無法觀測的事件的情況下�,也能夠生成事件隊列,因此����,具有能夠防止多級攻擊的檢測遺漏的效果����。
[0125]實施方式2.
[0126]在以上的實施方式I中�����,視作發(fā)生了系統(tǒng)無法觀測的事件�����,生成事件隊列��,但在實施方式2中��,示出如下實施方式:在無法觀測某個事件A時��,當觀測到滿足其先決條件的事件
B�、以及先決條件為事件A的達成狀態(tài)的事件X這兩者時,視作發(fā)生了事件A���,生成事件隊列����,從而進一步提尚檢測精度����。
[0127]圖9是示出實施方式2的攻擊檢測裝置的事件隊列生成部的一個結(jié)構(gòu)例的結(jié)構(gòu)圖。
[0128]在圖9中��,對于事件隊列生成部4的判定部25���、存儲部27���、生成部28,是與實施方式I相同的結(jié)構(gòu)����。以下,說明估計部26和等待觀測事件存儲部29���。
[0129]估計部26請求事件檢索部6檢索與所輸入的事件X處于依存關(guān)系的事件����。在檢索的結(jié)果為所得到的事件A是系統(tǒng)無法觀測的事件的情況下��,將事件A存儲到等待觀測事件存儲部29中����。此時����,將輸入到估計部26的事件X存儲到存儲部27中�����。
[0130]進而��,估計部26將無法觀測的事件A輸入到判定部25����,判定能否追加到事件隊列中。針對無法由判定部25觀測的事件A����,在判定為能夠追加到事件隊列中的情況下(已經(jīng)觀測到與無法觀測的事件A存在依存關(guān)系的事件B的情況下),視作發(fā)生了事件A��,生成事件隊列��。
[0131]另一方面�,針對無法由判定部25觀測的事件A,在判定為無法追加到事件隊列中而需要估計的情況下(未觀測到與無法觀測的事件A存在依存關(guān)系的事件的情況下)���,將無法觀測的事件A再次輸入到估計部26�。此時,輸入到估計部26的事件A已經(jīng)存在于等待觀測事件存儲部27中����,因此,估計部26判定為等待觀測事件存儲部27所存儲的事件A未發(fā)生���,將最初輸入到估計部的事件X判定為新的事件隊列。
[0132]此外��,在不存在估計部26估計的事件的情況下���,判定為新的事件隊列�,將所輸入的攻擊事件輸入到生成部28����,生成事件隊列。
[0133]接著�,說明實施方式2的攻擊檢測裝置的事件隊列生成部4的動作。
[0134]將從警報解釋部3輸出的攻擊事件輸入到判定部25����。關(guān)于判定部25的動作,與圖6相同。輸入到判定部25的攻擊事件通過判定部25內(nèi)的處理而被輸入到估計部26或生成部
28 ο
[0135]以下���,說明估計部26的動作���。
[0136]圖10是示出實施方式2的估計部26的處理流程的流程圖。
[0137]首先�����,在步驟S501中�����,判定部25向估計部26輸入事件X��。
[0138]接著�����,在步驟S302中����,估計部26判斷所輸入的事件X是否不存在于等待觀測事件存儲部27中,當不存在時��,通過“是”的分支,進入步驟S503�����。在所輸入的事件X存在于等待觀測事件存儲部27中的情況下�,通過“否”的分支,進入步驟S510��。
[0139]接著�����,在步驟S503中�����,估計部26向事件檢索部6請求檢索事件X的先決條件為達成狀態(tài)的事件����,從事件數(shù)據(jù)庫5中進行檢索��。
[0140]然后�����,在步驟S504中,估計部26判斷是否存在符合檢索請求的事件�,在存在符合檢索請求的事件的情況下(這里假設(shè)不存在兩個以上的相應(yīng)事件),通過“是”的分支���,進入步驟S505����。在不存在符合檢索請求的事件的情況下��,通過“否”的分支�,進入步驟S511。
[0141 ]接著��,在步驟S505中����,估計部26從事件檢索部6得到符合檢索請求的事件X’。
[0142]然后�,在步驟S506中,估計部26根據(jù)可否觀測的設(shè)定��,確認事件X’是否為無法觀測的事件��,在是無法觀測的事件時�����,通過“是”的分支,進入步驟S507�����。在是能夠觀測的事件的情況下����,通過“否”的分支,進入步驟S511����。
[0143]接著,在步驟S507中�,估計部26將事件X’判定為已觀測的事件��,在步驟S508中����,將所輸入的事件X存儲到存儲部27中,在步驟S509中���,將事件X’輸入到判定部���,結(jié)束處理�����。
[0144]此外��,在步驟S506中事件X’是能夠觀測事件的情況下����,或者在步驟S504中不存在符合檢索請求的事件的情況下����,在步驟S511中,估計部26將所輸入的事件X判定為新的事件隊列���,在步驟S512中���,將事件X輸入到生成部25,結(jié)束處理����。
[0145]此外,在步驟S502中輸入的事件X存在于等待觀測事件存儲部27的情況下�����,在步驟S510中,估計部26將與存儲部27所存儲的事件X存在依存關(guān)系的事件(相當于上次的輸入事件)置換為事件X���。然后�,在步驟S511中�,判定為是新的事件,在步驟S512中���,將事件X輸入到生成部25�,結(jié)束處理��。
[0146]通過判定部25或估計部26內(nèi)的處理輸入到生成部28的情況下的動作與實施方式I相同���。
[0147]如上所述����,本實施方式2的發(fā)明在無法觀測某個事件A時��,當觀測到滿足其先決條件的事件B�����、以及先決條件為事件A的達成狀態(tài)的事件X這兩者時����,視作發(fā)生了事件A,生成事件隊列����,由此,能夠進一步提尚檢測精度����。
[0148]實施方式3.
[0149]在以上的實施方式2中,根據(jù)是否已觀測到緊前面的事件和緊后面的事件���,將系統(tǒng)無法觀測的事件視作發(fā)生的事件�,但由于未對事件間的依存程度(發(fā)生概率)進行評價����,因此,可能將實際上難以認為已觀測到的事件視作已觀測到的事件����。因此,在實施方式3中��,示出如下的實施方式:使用事件連鎖的發(fā)生概率,評價是否為系統(tǒng)無法觀測的事件�,在發(fā)生概率超過閾值的情況下,能夠判定為已發(fā)生的事件�����。
[0150]圖11是示出實施方式3的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖�。
[0151]在圖11中,除了圖5的結(jié)構(gòu)以外����,事件隊列生成部4還具有存儲連鎖概率的連鎖概率存儲部30,連鎖概率是多個事件連鎖的概率���。
[0152 ]接著�����,說明實施方式3中的事件隊列生成部4的動作����。
[0153]將從警報解釋部3輸出的攻擊事件輸入到判定部25�����。關(guān)于判定部25的動作����,與圖6相同。輸入到判定部25的攻擊事件通過判定部25內(nèi)的處理而被輸入到估計部26或生成部
28 ο
[0154]圖12是示出實施方式3的估計部26的處理流程的流程圖���。
[0155]以下��,參照圖12����,說明實施方式3的估計部26的處理流程�����。
[0156]首先����,步驟S601?S605的處理與圖7所示的實施方式I中的估計部26的步驟S301?S305的處理相同。
[0157]接著�,在步驟S606中,估計部26在事件X’是系統(tǒng)無法觀測的事件的情況下���,對事件X’追加表示是等待觀測判定事件的信息�����。該信息例如是如下的標志信息:在等待觀測判定的情況下設(shè)定I���,在不是等待觀測判定的情況下設(shè)定O���。
[0158]其次,步驟S607?S610的處理與圖7所示的實施方式I中的估計部26的步驟S307?S310的處理相同��。
[0159]圖13是示出實施方式3的生成部28的處理流程的流程圖��。
[0160]以下�����,參照圖13�����,說明實施方式3的生成部28的處理流程�。
[0161]首先,在步驟S701中��,判定部25或估計部26向生成部28輸入事件X。
[0162]接著���,在步驟S702中,生成部28從存儲部27中調(diào)用與事件X處于依存關(guān)系的事件��。此時���,依存關(guān)系由存儲部27所存儲的事件的先決條件���、以及達成狀態(tài)的關(guān)系確定。
[0163]接著��,在步驟S703中���,生成部28根據(jù)從存儲部27調(diào)用的各事件的先決條件和達成狀態(tài)��,生成事件隊列�。
[0164]然后�,在步驟S704中,生成部28針對在步驟S703中生成的事件隊列���,根據(jù)相鄰的已觀測到的事件�,計算等待觀測事件的發(fā)生概率。例如蓄積之前的事件發(fā)生事例的數(shù)據(jù)�����,利用這些統(tǒng)計的數(shù)據(jù)���,給出發(fā)生概率��,作為多個事件連鎖的情況下的條件概率��。這樣的多個事件的連鎖概率被存儲到連鎖概率存儲部30中��。生成部28將計算出的發(fā)生概率為設(shè)定的閾值以上的等待觀測事件判定為觀測到的事件��。
[0165]接著����,在步驟S705中���,生成部28確認所輸入的事件X是否被判定部25或估計部26判定為新的事件隊列���,在判定為新的事件隊列的情況下,通過“是”的分支���,進入步驟S706���。在判定為不是新的事件隊列的情況下���,通過“否”的分支,進入步驟S709�。
[0166]然后���,在步驟S706中���,生成部28僅通過觀測到的事件,重新生成事件隊列�。此時,重新生成的事件隊列有時成為多個事件隊列���。
[0167]接著���,在步驟S707中,生成部28將重新生成的事件隊列登記到事件隊列存儲部7中��。
[0168]然后���,在步驟S708中�����,生成部28向檢測狀態(tài)管理部8通知已進行了事件隊列存儲部7的更新�����,結(jié)束處理����。
[0169]此外,在步驟S705中判定為不是新的事件隊列的情況下����,在步驟S709中,生成部28確認所輸入的事件X是否被判定部25或估計部26判定為能夠追加到現(xiàn)有的事件隊列��,在判定為能夠追加的情況下��,通過“是”的分支����,進入步驟S710。在判定為不能追加的情況下�����,通過“否”的分支,進入步驟S707�,在進行事件隊列存儲部的登記/更新后,進行步驟S708的處理�����,結(jié)束處理�����。
[0170]接著�����,在步驟S710中����,生成部28對現(xiàn)有的事件隊列追加可結(jié)合的事件隊列���。
[0171]然后�,在步驟S711中�,生成部28判定存儲部所存儲的全部事件是否能夠追加到現(xiàn)有的事件隊列���,在判定為能夠追加的情況下,通過“是”的分支�����,進入步驟S707�����,在進行事件隊列存儲部的登記/更新后�����,進行步驟S708的處理����,結(jié)束處理。在判定為不能追加的情況下�����,通過“否”的分支��,進入步驟S712。
[0172]接著�����,在步驟S712中�����,生成部28將無法追加的事件視作新的事件隊列�����,進行步驟S706至S708的處理���,結(jié)束處理����。
[0173]如上所述�����,本實施方式3的發(fā)明針對無法觀測的事件�����,根據(jù)存在依存關(guān)系的已觀測到的事件����,計算發(fā)生概率,由此���,能夠生成考慮了是否可以視作已觀測到的事件的評價后的事件隊列���,能夠進一步提尚檢測精度。
[0174]實施方式4.
[0175]以上的實施方式I?3是與系統(tǒng)無法觀測的攻擊事件相關(guān)的攻擊事件估計的方法�����,但在本實施方式4中����,示出如下的實施方式:估計系統(tǒng)由于檢測遺漏而無法觀測的攻擊事件,生成事件隊列���。
[0176]圖14是示出實施方式4的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖����。
[0177]在圖14中���,事件隊列生成部4除了圖5的結(jié)構(gòu)以外�����,還具有存儲事件的檢測遺漏率的檢測遺漏率存儲部31����。
[0178]接著,說明實施方式4中的事件隊列生成部4的動作�����。
[0179]將從警報解釋部3輸出的攻擊事件輸入到判定部25���。關(guān)于判定部25的動作����,與圖6相同��。輸入到判定部25的攻擊事件通過判定部25內(nèi)的處理而被輸入到估計部26或生成部
28 ο
[0180]圖15是示出實施方式4的估計部26的處理流程的流程圖����。
[0181]以下�,參照圖15,說明實施方式4的估計部26的處理流程。
[0182]首先��,步驟S801?S804的處理與圖7所示的實施方式I中的估計部26的步驟S301?S304的處理相同�����。
[0183]接著��,在步驟S805中�,估計部26參照檢測遺漏率存儲部31,調(diào)查事件X’的檢測遺漏率��,判定是否為預(yù)先設(shè)定的閾值以上�。檢測遺漏率存儲部31存儲的檢測遺漏率例如使用以如下方式得到的檢測遺漏率:蓄積之前發(fā)生的事件的檢測遺漏事例數(shù)據(jù),利用它們的統(tǒng)計數(shù)據(jù)���,計算出檢測遺漏率����。估計部26在檢測遺漏率為閾值以上的情況下��,通過“是”的分支��,進入步驟S806�。在檢測遺漏率不為閾值以上的情況下�����,通過“否”的分支��,進入步驟S809����。
[0184]其次�,在步驟S806?S810的處理與圖7所示的實施方式I中的估計部26的步驟S306?S310的處理相同。
[0185]如上所述���,本實施方式4的發(fā)明預(yù)先針對各事件�����,定義發(fā)生檢測遺漏的比例作為檢測遺漏率���,在檢測遺漏率為閾值以上的情況下,判定為已觀測到的事件����,由此即使在包含由于檢測遺漏而無法觀測的事件的情況下,也能夠生成事件隊列����,能夠進一步提高檢測精度。
[0186]實施方式5.
[0187]以上的實施方式I?4是以如下情況為前提的:沒有假設(shè)為了生成事件隊列而需要多個先決條件�����,事件隊列為I列�����。在本實施方式5中�����,示出如下的實施方式:即使在根據(jù)多個先決條件生成事件隊列的情況下����,也進行事件發(fā)生的估計,從而能夠生成事件隊列����。
[0188]圖16是示出實施方式5的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖。
[0189]在圖16中����,事件隊列生成部4除了圖5的結(jié)構(gòu)以外�,還具有判定攻擊事件的估計處理的結(jié)束的結(jié)束判定部32����、以及保存判定部25和估計部26的判定結(jié)果的判定結(jié)果表33。
[0190]圖17是示出實施方式5的判定結(jié)果表33的保存例的圖���。
[0191]在圖17中�,作為系統(tǒng)無法觀測的事件的“密碼流出”是如下例子:根據(jù)估計部26的估計結(jié)果��,被視作已發(fā)生的事件�����,將發(fā)生判定判定為“可”����。
[0192]判定部25驗證從警報解釋部3輸入的攻擊事件是否能夠追加到事件隊列存儲部7所登記的事件隊列中,在無法追加到事件隊列的情況下���,判定為需要估計未被觀測的事件���。在判定為需要估計未被觀測的事件的情況下,通過估計部26進行估計�����。在判定為所輸入的攻擊事件是能夠追加到事件隊列存儲部7內(nèi)的現(xiàn)有的事件隊列、或者是新的事件隊列的情況下�,在將判定結(jié)果追加到判定結(jié)果表33后���,將所輸入的攻擊事件輸入到結(jié)束判定部32�����,判定攻擊事件的估計處理的結(jié)束����。
[0193]估計部26請求事件檢索部6檢索與所輸入的攻擊事件處于依存關(guān)系的攻擊事件����,接收事件檢索部6的檢索結(jié)果。針對檢索結(jié)果的各攻擊事件���,在檢索結(jié)果的攻擊事件是系統(tǒng)無法觀測的攻擊事件的情況下��,將通過檢索而新得到的攻擊事件判定為觀測到的事件����。將視作觀測到的事件的各個攻擊事件輸入到判定部25,在判定為所輸入的攻擊事件能夠追加到事件隊列存儲部7內(nèi)的現(xiàn)有的事件隊列中��、或者是新的事件隊列之前���,以遞歸方式進行估
i+o
[0194]在進行與輸入到估計部26的攻擊事件具有依存關(guān)系的全部攻擊事件的估計后�����,確認觀測所輸入的攻擊事件所需的先決條件是否全部滿足��,將確認結(jié)果追加到判定結(jié)果表33����。然后����,將輸入到估計部26的攻擊事件存儲到存儲部27中,將輸入到結(jié)束判定部32的攻擊事件輸入到生成部28����。
[0195]生成部28針對從結(jié)束判定部32輸入的攻擊事件,從存儲部27調(diào)用依存于所輸入的攻擊事件的攻擊事件����。然后�,根據(jù)調(diào)用的各攻擊事件�,生成事件隊列。在事件隊列生成時����,根據(jù)判定結(jié)果表33,將判定為新的事件隊列的攻擊事件視作獨立的事件隊列����。
[0196]接著����,生成部28對登記在事件隊列存儲部7內(nèi)的事件隊列結(jié)合包含可追加的事件的事件隊列。此時���,在能夠結(jié)合登記在事件隊列存儲部7內(nèi)的多個事件隊列的情況下�,將這些事件結(jié)合而成為I個事件隊列���。從事件隊列生成中排除由估計部26判定為不滿足一部分或全部進行觀測所需的先決條件的攻擊事件����。
[0197]在進行以上的處理后,生成部28將所生成的新的事件隊列���、以及與登記在事件隊列存儲部7內(nèi)的事件隊列結(jié)合的事件隊列登記/更新到事件隊列存儲部7中�。生成部28向檢測狀態(tài)管理部8通知通過生成事件隊列進行了事件隊列的更新����。
[0198]結(jié)束判定部32首先將從警報解釋部3輸入的攻擊事件存儲為初始事件。然后��,在輸入了新的攻擊事件時���,進行是否與初始事件相同的比較���。在輸入了與初始事件相同的事件時,向生成部28輸入初始事件�����。
[0199]接著����,說明本實施方式中的事件隊列生成部4的動作的詳情。從警報解釋部3輸出的攻擊事件被輸入到判定部25以及結(jié)束判定部32�。
[0200]以下,說明判定部25的動作。
[0201 ]圖18是示出實施方式5的判定部25的處理流程的流程圖���。
[0202]首先��,步驟S901?S904的處理與圖6所示的實施方式I中的判定部25的步驟S201?S204的處理相同�����。
[0203]接著�����,在步驟S904中存在相應(yīng)的事件隊列的情況下�����,在步驟S905中,判定部25判定為所輸入的事件X能夠追加到現(xiàn)有事件隊列���,追加記載到判定結(jié)果表33�。
[0204]繼而����,在步驟S906中,當存在多個先決條件時,確認是否已對全部先決條件進行了判定���。在對全部先決條件進行了判定的情況下�,通過“是”的分支����,進入步驟S907,向結(jié)束判定部32輸入事件X���,結(jié)束處理�����。
[0205]此外�,在步驟S906中未對全部先決條件進行判定的情況下��,通過“否”的分支��,進入步驟S908���,針對未進行判定的先決條件實施判定�����,返回步驟S903�����,再次繼續(xù)實施判定的處理��。
[0206]此外��,在步驟S904中不存在相應(yīng)的事件隊列的情況下��,在步驟S909中��,判定部25判定為需要估計事件��,在步驟S910中��,將事件X輸入到估計部26��,結(jié)束處理�����。
[0207]此外��,在步驟S902中事件X是不具有先決條件的事件的情況下���,在步驟S911中����,判定部25將所輸入的事件X判定為新的事件隊列���,在步驟S912中將事件X輸入到結(jié)束判定部32�,結(jié)束處理����。
[0208]接著,說明將從警報解釋部3輸出的攻擊事件輸入到結(jié)束判定部32時的動作��。
[0209]圖19是示出實施方式5的結(jié)束判定部32的處理流程的流程圖�。
[0210]首先,在步驟S1001中�,警報解釋部3向結(jié)束判定部32輸入初始事件X。
[0211]接著���,在步驟S1002以及步驟S1003中��,結(jié)束判定部32成為等待從判定部25或估計部26輸入的事件的狀態(tài)��。在步驟S1003中未輸入事件的情況下����,通過“否”的分支,返回步驟S1002�����,再次成為事件的等待輸入狀態(tài)�����。在步驟S1003中輸入了事件時����,通過“是”的分支,進入步驟S1004��。
[0212]接著��,在步驟S1004中�����,結(jié)束判定部32判定所輸入的事件是否等同于初始事件X�。在所輸入的事件等同于初始事件X的情況下����,通過“是”的分支��,進入步驟S1005�。
[0213]接著�,在步驟S1005中,結(jié)束判定部32向生成部25輸入初始事件X�����,結(jié)束處理�。
[0214]此外,在步驟S1003中輸入的事件與初始事件X不同的情況下��,在步驟S1002中成為等待輸入狀態(tài)��。
[0215]以上為結(jié)束判定部32的處理流程�����。
[0216]接著����,輸入到判定部25的事件X通過判定部25內(nèi)的處理被輸入到估計部26或結(jié)束判定部32。以下�,說明將事件X輸入到估計部26的情況下的動作���。
[0217]圖20是示出實施方式5的估計部26的處理流程的流程圖。
[0218]首先�����,在步驟SllOl中��,判定部25向估計部26輸入事件X��。
[0219]接著���,在步驟S1102中��,估計部26請求事件檢索部6檢索事件X的先決條件為達成狀態(tài)的事件�,從事件數(shù)據(jù)庫5中進行檢索����。
[0220]然后,在步驟SI103中���,估計部26判斷是否存在符合檢索請求的事件���,當存在符合檢索請求的事件時�,通過“是”的分支����,進入步驟S1104�����。當不存在符合檢索請求的事件時�����,通過“否”的分支�,進入步驟Sllll。
[0221]接著����,在步驟S1103中不存在符合檢索請求的事件的情況下,在步驟Sllll中����,估計部26將所輸入的事件X判定為新的事件隊列,追加到判定結(jié)果表33����。然后�,進行步驟S1112的處理����。
[0222]此外,在步驟S1103中存在符合檢索請求的事件的情況下���,在步驟S1104中��,估計部26得到一個以上的相應(yīng)事件0’_1���、乂’_2、-_)�。然后,在步驟51105中���,將用于反復(fù)處理的變量i初始化為I����。
[0223]接著��,在步驟S1106中���,估計部26在X’_i是系統(tǒng)無法觀測的事件的情況下�,通過“是”的分支,進入步驟S1107��。在X’」不是系統(tǒng)無法觀測的事件的情況下�����,通過“否”的分支���,進入步驟SI 109。
[0224]接著��,在步驟S1107中���,估計部26將事件X’_i判定為已觀測到的事件����,然后在步驟S1108中向判定部25輸入事件X’」����。在步驟S1108的處理結(jié)束后,進行步驟S1109的處理�。
[0225]然后,在步驟S1109中,估計部26判斷是否已對在步驟S1104中得到的全部事件X’_i進行了判定����,在對全部事件x’_i進行了判定的情況下,通過“是”的分支�,進入步驟S1112。在未判定全部事件X’」的情況下��,通過“否”的分支�,進入步驟S1110,對用于反復(fù)處理的變量i進行遞增而進行更新��,返回步驟S1106�。
[0226]接著,在步驟S1112中���,估計部26確認所輸入的事件X是否全部滿足用于觀測的先決條件����,在全部滿足先決條件的情況下���,通過“是”的分支�����,進入步驟S1114�����。在未滿足先決條件的一部分或全部的情況下�,通過“否”的分支,進入步驟SI 113���。
[0227]在步驟SI112中未滿足先決條件的一部分或全部的情況下���,在步驟SI 113中��,估計部26將所輸入的事件X判定為未被觀測到的事件�����,追加到判定結(jié)果表33中�����。此時����,即使在步驟SI 107中視作已觀測到的事件��,也使步驟SI 113的判定結(jié)果優(yōu)先����。
[0228]在步驟S1112中全部滿足觀測所輸入的事件X所需的先決條件的情況下�、或者在步驟S1113的處理之后,在步驟S1114中�����,估計部26將所輸入的事件X存儲到存儲部27中�����,然后��,在步驟S1115中����,向結(jié)束判定部32輸入事件X。
[0229]接著�,說明通過結(jié)束判定部32內(nèi)的處理而將攻擊事件輸入到生成部28的情況下的動作。
[0230]圖21是示出實施方式5的生成部28的處理流程的流程圖����。
[0231]首先����,在步驟S1201中����,結(jié)束判定部32向生成部28輸入事件X。
[0232]接著�����,在步驟S1202中����,生成部28從存儲部27中調(diào)用與事件X處于依存關(guān)系的事件。此時�����,依存關(guān)系由存儲部27所存儲的事件的先決條件����、以及達成狀態(tài)的關(guān)系確定�。
[0233]接著,在步驟S1203中��,生成部28根據(jù)從存儲部27調(diào)用的各事件的先決條件和達成狀態(tài),生成事件隊列�����。
[0234]然后�����,在步驟S1204中���,生成部28根據(jù)判定結(jié)果表33����,對在步驟S1203中生成的事件隊列進行如下的處理��。首先��,將被判定為能夠與登記在事件隊列存儲部7內(nèi)的現(xiàn)有的事件隊列結(jié)合的事件與事件隊列結(jié)合�。此時,在結(jié)合了登記在事件隊列存儲部7內(nèi)的多個事件隊列的情況下��,更新為I個事件隊列���。此外����,將無法與現(xiàn)有的事件隊列結(jié)合的事件隊列視作新的事件隊列。此外����,在通過估計部26視作未觀測到事件的情況下,將相應(yīng)事件從事件隊列生成中排除����。
[0235]接著,在步驟S1205中��,生成部28將所生成的新的事件隊列�、或已與登記在事件隊列存儲部7內(nèi)的事件隊列結(jié)合的事件隊列登記/更新到事件隊列存儲部7中。
[0236]最后���,在步驟S1206中����,生成部28向檢測狀態(tài)管理部8通知已通過生成事件隊列進行了事件隊列存儲部7的更新�����,結(jié)束處理�。
[0237]如上所述,本實施方式5的發(fā)明即使在根據(jù)多個先決條件生成事件隊列的情況下�����,也進行事件發(fā)生的估計����,從而能夠生成事件隊列。由此����,對于具有復(fù)雜的先決條件的攻擊事件,也能夠估計無法觀測的攻擊事件��,能夠提高本發(fā)明中的實施方式I?4的通用性��。
[0238]實施方式6.
[0239]以上的實施方式I?5以利用已觀測到的攻擊事件的先決條件����、追溯之前已發(fā)生的事件的方式進行檢索,由此��,進行了事件隊列的生成���。在本實施方式6中��,示出如下的實施方式:存儲根據(jù)已觀測到的攻擊事件的結(jié)果而期待接下來要觀測的攻擊事件�����,從而能夠更高效地判定新觀測到的攻擊事件是否能夠追加到現(xiàn)有的事件隊列�。
[0240]圖22是示出實施方式6的攻擊檢測裝置I的一個結(jié)構(gòu)例的結(jié)構(gòu)圖。
[0241]在圖22中�,攻擊檢測裝置I除了圖1的結(jié)構(gòu)以外,還具有觀測期待事件存儲部34�,該觀測期待事件存儲部34存儲能夠追加到事件隊列存儲部7所存儲的事件隊列中的任意事件隊列的攻擊事件。
[0242]圖23是示出實施方式6的事件隊列生成部4的一個結(jié)構(gòu)例的結(jié)構(gòu)圖�����。
[0243]在圖23中����,將從警報解釋部3輸入的攻擊事件輸入到判定部25。判定部25在觀測期待事件存儲部34內(nèi)進行檢索����,調(diào)查是否包含所輸入的攻擊事件,判定是否為能夠追加到事件隊列的事件�����。
[0244]估計部26使用事件檢索部6�,從事件數(shù)據(jù)庫5內(nèi)檢索先決條件為輸入事件的達成狀態(tài)的攻擊事件,存儲到觀測期待事件存儲部34中��。此外�����,在事件檢索部6的檢索結(jié)果是系統(tǒng)無法觀測的事件的情況下�,估計部26進行系統(tǒng)無法觀測的事件的估計。估計的方法在后面敘述�。
[0245]生成部28對由判定部25得到的事件隊列追加存儲部27內(nèi)的攻擊事件、以及所輸入的攻擊事件�����,對事件隊列存儲部7進行更新����。或者���,生成部28將事件隊列新登記到事件隊列存儲部7中���。
[0246]接著�����,參照圖24說明實施方式6的攻擊檢測裝置I的動作��。
[0247]圖24是示出實施方式6的攻擊檢測裝置的處理流程的流程圖����。
[0248]在圖24中���,與警報接收部2�����、警報解釋部3����、事件檢索部6相關(guān)的步驟S1301?S1304的處理和實施方式I相同���。
[0249]接著��,在步驟S1305中����,警報解釋部3向事件隊列生成部4輸入攻擊事件。
[0250]然后�����,在步驟S1306中���,事件隊列生成部4在觀測期待事件存儲部34內(nèi)進行檢索,在步驟S1307中����,判定檢索的結(jié)果是否為所輸入的攻擊事件能夠追加到現(xiàn)有的事件隊列。對于該判定�����,在檢索結(jié)果中包含所輸入的攻擊事件的情況下��,判定為所輸入的攻擊事件能夠追加到現(xiàn)有的事件隊列�����。在之后的步驟S1311中使用該判定結(jié)果���。
[0251]接著��,在步驟S1308中���,事件隊列生成部4請求事件檢索部6檢索先決條件為所輸入的攻擊事件的達成狀態(tài)的事件��。
[0252]接著��,在步驟S1309中���,事件檢索部6在事件數(shù)據(jù)庫5內(nèi)進行檢索,回送與檢索請求對應(yīng)的攻擊事件定義信息��。
[0253]然后�,在步驟S1310中,事件隊列生成部4在觀測期待事件存儲部34中登記與檢索請求對應(yīng)的攻擊事件定義信息�。
[0254]接著,在步驟SI311中�,事件隊列生成部4參照步驟SI307中的判定結(jié)果,在判定為所輸入的攻擊事件能夠追加到現(xiàn)有的事件隊列的情況下���,通過“是”的分支�,進入步驟S1312��。在判定為不能追加的情況下,通過“否”的分支�,進入步驟S1313。
[0255]接著���,在步驟S1311中進入“是”的分支的情況下�����,在步驟S1312中,事件隊列生成部4對與相應(yīng)的觀測期待事件存儲部34內(nèi)的攻擊事件對應(yīng)的事件隊列追加攻擊事件��,對事件隊列存儲部7進行更新���。
[0256]接著���,關(guān)于步驟S1314和步驟S1315中的事件隊列存儲部7、檢測狀態(tài)管理部8的動作�,與實施方式I相同。
[0257]另一方面����,在步驟S1311中進入“否”的分支的情況下,在步驟S1313中����,事件隊列生成部4將所輸入的攻擊事件作為新的事件隊列登記到事件隊列存儲部7中���。然后,進行步驟S1314和步驟S1315的處理�。
[0258]接著,說明實施方式6的事件隊列生成部4的動作的詳情���。
[0259]圖25是示出實施方式6的判定部25的處理流程的流程圖���。
[0260]首先,在步驟S1401中���,警報解釋部3向判定部25輸入事件X���。
[0261]接著,在步驟S1402中���,判定部25在觀測期待事件存儲部34內(nèi)進行檢索��,調(diào)查是否存在事件X�。
[0262]然后,在步驟S1403中��,判定部25判定進行檢索的結(jié)果是否為存在事件X��。在存在事件X的情況下���,通過“是”的分支��,進入步驟S1404�����。在不存在事件X的情況下,通過“否”的分支�����,進入步驟S1406���。
[0263]接著����,在步驟S1404中��,判定部25判定為所輸入的事件X能夠追加到現(xiàn)有事件隊列。
[0264]然后�����,在步驟S1405中���,判定部25將與觀測期待事件存儲部34所存儲的事件X對應(yīng)的事件隊列信息交接給事件X�,將其從觀測期待事件存儲部34中刪除�����。
[0265]接著�����,在步驟S1407中��,判定部25向估計部26輸入事件X���,結(jié)束處理�。
[0266]另一方面����,在步驟S1403中不存在事件X的情況下,在步驟S1406中,判定部25判定為事件X是新的事件隊列����。然后,通過步驟S1407的處理���,判定部25向估計部26輸入事件X��,結(jié)束處理�。
[0267]接著����,說明將事件X輸入到估計部26的情況下的動作。
[0268]圖26是示出實施方式6的估計部26的處理流程的流程圖��。
[0269]首先���,在步驟S1501中,判定部25向估計部26輸入事件X�。
[0270]接著,在步驟S1502中����,估計部26判斷事件X是否具有達成狀態(tài),在具有達成狀態(tài)的情況下,通過“是”的分支��,進入步驟S1503��。在不具有達成狀態(tài)的情況下����,通過“否”的分支,進入步驟S1513�。
[0271]接著,在步驟S1503中�,估計部26請求事件檢索部6檢索先決條件為事件X的達成狀態(tài)的事件,從事件數(shù)據(jù)庫5中進行檢索����。
[0272]然后,在步驟S1504中��,估計部26判斷是否存在符合檢索請求的事件���,在存在符合檢索請求的事件的情況下��,通過“是”的分支�,進入步驟S1505�����。在不存在符合檢索請求的事件的情況下,通過“否”的分支��,進入步驟S1513����。
[0273]接著,在步驟S1505中�����,估計部26從事件檢索部6中得到符合檢索請求的事件X’�����。
[0274]然后��,在步驟S1506中���,估計部26根據(jù)可否觀測的設(shè)定�����,確認事件X’是否為無法觀測的事件����,在是無法觀測的事件時�����,通過“是”的分支���,進入步驟S1507��。在是能夠觀測的事件的情況下�,通過“否”的分支���,進入步驟SI511����。
[0275]接著�����,在步驟S1507中�����,估計部26將事件X’判定為已觀測到的事件。
[0276]然后����,在步驟S1508中,估計部26將與事件X對應(yīng)的事件隊列信息交接給事件X’�����。然后����,在步驟S1509中,在存儲部27中存儲事件X��,在步驟S1510中����,將事件X ’重新設(shè)為事件X,返回步驟S1502�����。
[0277]另一方面���,在步驟S1506中事件X’是系統(tǒng)能夠觀測的事件的情況下���,在步驟S1511中,估計部26將與事件X對應(yīng)的事件隊列信息交接給事件X’���。
[0278]接著�,在步驟S1512中��,估計部26在觀測期待事件存儲部34中追加事件X’����,對觀測期待事件存儲部34進行更新。然后��,在步驟S1513中���,估計部26向生成部28輸入事件X�����,結(jié)束處理����。
[0279]此外���,在步驟S1502中事件X不具有達成狀態(tài)的情況下�����,或者在步驟S1504中檢索的結(jié)果是不存在相應(yīng)的事件的情況下����,在步驟S1513中,估計部26向生成部28輸入事件X�����,結(jié)束處理����。
[0280]接著,說明通過估計部26內(nèi)的處理而向生成部28輸入了事件X的情況下的動作�����。[0281 ]圖27是示出實施方式6的生成部28的處理流程的流程圖��。
[0282]首先����,步驟S1601中���,估計部26向生成部28輸入事件X。
[0283]接著����,在步驟S1602中�,生成部28從存儲部27中調(diào)用與事件X處于依存關(guān)系的事件。此時�����,依存關(guān)系由存儲部27所存儲的事件的先決條件���、以及達成狀態(tài)的關(guān)系確定�����。
[0284]接著���,在步驟S1603中,生成部28確認所輸入的事件X是否被判定部25判定為新的事件隊列���,在判定為新的事件隊列的情況下����,通過“是”的分支,進入步驟S1604��。在判定為不是新的事件隊列的情況下��,通過“否”的分支����,進入步驟S1605。
[0285]接著���,在步驟S1604中�����,生成部28根據(jù)從存儲部27調(diào)用的各事件的先決條件和達成狀態(tài)��,生成事件隊列����,作為新的事件隊列登記到事件隊列存儲部7中���。
[0286]然后��,在步驟S1609中�����,生成部28向檢測狀態(tài)管理部8通知已進行了事件隊列存儲部7的更新��,結(jié)束處理�。
[0287]此外�,在步驟S1603中判定為不是新的事件隊列的情況下,在步驟S1605中�����,生成部28確認所輸入的事件X是否被判定部25判定為能夠追加到現(xiàn)有的事件隊列��,在判定為能夠追加的情況下��,通過“是”的分支��,進入步驟S1606��。在判定為不能追加的情況下����,通過“否”的分支�,結(jié)束處理���。
[0288]接著�,在步驟S1606中�����,生成部28根據(jù)與所輸入的事件X對應(yīng)的事件隊列信息��,從事件隊列存儲部7調(diào)用事件隊列�����。
[0289]然后�����,在步驟S1607中�,生成部28根據(jù)從存儲部27調(diào)用的各事件的先決條件和達成狀態(tài),生成事件隊列����,追加到從事件隊列存儲部7調(diào)用的事件隊列����。
[0290]接著����,在步驟S1608中,生成部28用追加后的事件隊列更新事件隊列存儲部7內(nèi)的追加前的事件隊列���,進行步驟S1609的處理���,結(jié)束處理。
[0291]如上所述��,本實施方式6的發(fā)明通過存儲根據(jù)已觀測到的攻擊事件的達成狀態(tài)而期待接下來要觀測的攻擊事件����,判定新觀測到的攻擊事件是否能夠追加到現(xiàn)有的事件隊列���。由此����,能否追加到事件隊列的判定可以僅調(diào)查所存儲的��、期待觀測的攻擊事件,因此����,與需要按照每個事件隊列進行檢索的實施方式I?5相比,能夠更高效地進行判定��。
[0292]標號說明
[0293] I:攻擊檢測裝置;2:警報接收部;3:警報解釋部;4:事件隊列生成部;5:事件數(shù)據(jù)庫;6:事件檢索部;7:事件隊列存儲部;8:檢測狀態(tài)管理部;9:攻擊事件定義信息�����;10:先決條件�;11:事件;12:達成狀態(tài)���;13:攻擊概率�����;14:可否觀測�;15:先決條件(具體例)�;16:事件發(fā)生源;17:事件類別����;18:事件參數(shù)��;19:事件發(fā)生源(具體例)��;20:事件類別(具體例)����;21:事件參數(shù)(具體例)��;22:達成狀態(tài)(具體例)����;23:攻擊概率(具體例);24:可否觀測(具體例)���;25:判定部;26:估計部;27:存儲部;28:生成部;29:等待觀測事件存儲部;30:連鎖概率存儲部;31:檢測遺漏率存儲部;32:結(jié)束判定部;33:判定結(jié)果表;34:觀測期待事件存儲部��。
【主權(quán)項】
1.一種攻擊檢測裝置���,該攻擊檢測裝置具有: 事件階段信息存儲部���,其針對多個事件存儲事件階段信息����,所述事件階段信息記述了在進行針對信息系統(tǒng)的攻擊的過程中由所述信息系統(tǒng)觀測的事件、作為觀測所述事件前的攻擊的進展階段的事件前階段����、和作為觀測到所述事件后的攻擊的進展階段的事件后階段; 觀測事件通知信息接收部��,其接收觀測事件通知信息,所述觀測事件通知信息通知由所述信息系統(tǒng)觀測到的觀測事件;以及 事件隊列生成部���,其從所述事件階段信息存儲部中檢索記述有通過所述觀測事件通知信息通知的觀測事件的事件階段信息,從所述事件階段信息存儲部中檢索記述有與檢索出的事件階段信息的事件前階段對應(yīng)的事件后階段、或者與檢索出的事件階段信息的事件后階段對應(yīng)的事件前階段的事件階段信息����,在檢索出的事件階段信息的事件是無法觀測的不可觀測事件的情況下���,視作已觀測到所述不可觀測事件�,利用依存關(guān)系連接所述觀測事件和所述不可觀測事件�,生成事件隊列。2.根據(jù)權(quán)利要求1所述的攻擊檢測裝置����,其中, 所述事件隊列生成部從所述事件階段信息存儲部中檢索記述有與所述不可觀測事件的事件前階段對應(yīng)的事件后階段或與所述不可觀測事件的事件后階段對應(yīng)的事件前階段的事件階段信息����,在觀測到檢索出的事件階段信息的事件的情況下�����,視作已觀測到所述不可觀測事件�,利用依存關(guān)系連接所述觀測事件和所述不可觀測事件����,生成事件隊列。3.根據(jù)權(quán)利要求1所述的攻擊檢測裝置�����,其中�, 所述攻擊檢測裝置具有存儲多個事件的連鎖概率的連鎖概率存儲部, 所述事件隊列生成部根據(jù)所述連鎖概率存儲部所存儲的所述連鎖概率�,計算事件隊列的發(fā)生概率,在該發(fā)生概率為閾值以上的情況下���,視作已觀測到所述不可觀測事件��,利用依存關(guān)系連接所述觀測事件和所述不可觀測事件,生成事件隊列��。4.根據(jù)權(quán)利要求1所述的攻擊檢測裝置,其中�����, 所述攻擊檢測裝置具有存儲事件的檢測遺漏率的檢測遺漏率存儲部�����, 所述事件隊列生成部在所述檢測遺漏率存儲部所存儲的所述檢測遺漏率超過閾值的情況下�����,視作已觀測到所述不可觀測事件��,利用依存關(guān)系連接所述觀測事件和所述不可觀測事件���,生成事件隊列�。5.根據(jù)權(quán)利要求1?4中的任意一項所述的攻擊檢測裝置����,其中, 在所述事件階段信息存儲部存儲的所述事件階段信息中記述有多個所述事件前階段或所述事件后階段�, 所述事件隊列生成部根據(jù)記述在所述事件階段信息中的多個所述事件前階段或所述事件后階段的可否觀測的判定結(jié)果,生成事件隊列。6.根據(jù)權(quán)利要求1?4中的任意一項所述的攻擊檢測裝置���,其中��, 所述攻擊檢測裝置具有觀測期待事件存儲部�����,所述觀測期待事件存儲部存儲記述有與所述觀測事件的事件后階段對應(yīng)的事件前階段的事件階段信息���, 所述事件隊列生成部從所述觀測期待事件存儲部中檢索在所述事件前階段中記述有觀測事件的事件階段信息,生成事件隊列��。7.—種攻擊檢測方法�����,是檢測針對信息系統(tǒng)的攻擊的攻擊檢測裝置的攻擊檢測方法�����,包括以下步驟: 事件階段信息存儲步驟���,事件階段信息存儲部針對多個事件存儲事件階段信息�����,所述事件階段信息記述了在進行針對所述信息系統(tǒng)的攻擊的過程中由所述信息系統(tǒng)觀測的事件����、作為觀測所述事件前的攻擊的進展階段的事件前階段��、和作為觀測到所述事件后的攻擊的進展階段的事件后階段���; 觀測事件通知信息接收部接收觀測事件通知信息的步驟����,所述觀測事件通知信息通知由所述信息系統(tǒng)觀測到的觀測事件���;以及 事件隊列生成步驟���,事件隊列生成部從所述事件階段信息存儲部中檢索記述有通過所述觀測事件通知信息通知的觀測事件的事件階段信息,從所述事件階段信息存儲部中檢索記述有與檢索出的事件階段信息的事件前階段對應(yīng)的事件后階段���、或者與檢索出的事件階段信息的事件后階段對應(yīng)的事件前階段的事件階段信息����,在檢索出的事件階段信息的事件是無法觀測的不可觀測事件的情況下,視作已觀測到所述不可觀測事件����,利用依存關(guān)系連接所述觀測事件和所述不可觀測事件,生成事件隊列��。8.—種攻擊檢測程序��,使計算機執(zhí)行處理���,其中����,所述計算機針對多個事件存儲事件階段信息�����,所述事件階段信息記述了在進行針對信息系統(tǒng)的攻擊的過程中由所述信息系統(tǒng)觀測的事件����、作為觀測所述事件前的攻擊的進展階段的事件前階段、和作為觀測到所述事件后的攻擊的進展階段的事件后階段�����,所述處理如下: 觀測事件通知信息接收處理,接收觀測事件通知信息����,所述觀測事件通知信息通知由所述信息系統(tǒng)觀測到的觀測事件;以及 事件隊列生成處理���,檢索記述有通過所述觀測事件通知信息通知的觀測事件的事件階段信息,檢索記述有與檢索出的事件階段信息的事件前階段對應(yīng)的事件后階段���、或者與檢索出的事件階段信息的事件后階段對應(yīng)的事件前階段的事件階段信息�,在檢索出的事件階段信息的事件是無法觀測的不可觀測事件的情況下�,視作已觀測到所述不可觀測事件,利用依存關(guān)系連接所述觀測事件和所述不可觀測事件�����,生成事件隊列����。
【文檔編號】G06F21/55GK106062765SQ201480076371
【公開日】2016年10月26日
【申請日】2014年2月26日
【發(fā)明人】居城秀明, 河內(nèi)清人
【申請人】三菱電機株式會社