DE112018007202T5 - Informationsverarbeitungsvorrichtung, steuerungsverfahren undprogramm - Google Patents

Informationsverarbeitungsvorrichtung, steuerungsverfahren undprogramm Download PDF

Info

Publication number
DE112018007202T5
DE112018007202T5 DE112018007202.9T DE112018007202T DE112018007202T5 DE 112018007202 T5 DE112018007202 T5 DE 112018007202T5 DE 112018007202 T DE112018007202 T DE 112018007202T DE 112018007202 T5 DE112018007202 T5 DE 112018007202T5
Authority
DE
Germany
Prior art keywords
event
target
information
class
determined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018007202.9T
Other languages
English (en)
Inventor
Kazuhiko Isoyama
Yoshiaki SAKAE
Jun Nishioka
Etsuko ICHIHARA
Kosuke YOSHIDA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of DE112018007202T5 publication Critical patent/DE112018007202T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Eine Informationsverarbeitungsvorrichtung (2000) klassifiziert jedes Ereignis, das in einer zu bestimmenden Zielvorrichtung (10) auftrat, entweder als ein Ereignis (Ereignis einer ersten Klasse), das auch in einer Standardvorrichtung (20) auftritt, oder als ein Ereignis (Ereignis einer zweiten Klasse), das in der Standardvorrichtung (20) nicht auftritt. Dabei werden ein erstes Modell, das für eine Bestimmung in Bezug auf ein Ereignis verwendet wird, das auch in der Standardvorrichtung (20) auftritt, und ein zweites Modell, das für eine Bestimmung in Bezug auf ein Ereignis verwendet wird, das in der Standardvorrichtung (20) nicht auftritt, als Modelle verwendet, um zu bestimmen, ob ein Ereignis, das in einer zu bestimmenden Zielvorrichtung (10) auftritt, ein Zielereignis für eine Warnung ist. Die Informationsverarbeitungsvorrichtung (2000) führt das Lernen des ersten Modells unter Verwendung eines Ereignisses der ersten Klasse durch. Ferner führt die Informationsverarbeitungsvorrichtung (2000) das Lernen des zweiten Modells unter Verwendung eines Ereignisses der zweiten Klasse durch.

Description

  • [Technischer Bereich]
  • Die vorliegende Erfindung betrifft die Anomalieerkennung.
  • [Technischer Hintergrund]
  • Ein System zur Überwachung, ob ein Computersystem normal arbeitet, wurde entwickelt. Beispielsweise offenbart PTL 1 ein System, das das Lernen eines normalen Betriebsmodells zu einem Zeitpunkt des normalen Betriebs einer zu beobachtenden Zielsoftware durchführt, den Betrieb der zu beobachtenden Zielsoftware mit dem Modell vergleicht und dadurch das Auftreten einer Anomalie feststellt, die durch Eindringen in die zu überwachende Zielsoftware verursacht wurde.
  • [Zitierliste]
  • [Patentliteratur]
  • [PTL 1] Veröffentlichung der japanischen Patentanmeldung Nr. 2008-129714 .
  • [Zusammenfassung der Erfindung]
  • [Technisches Problem]
  • Nach der Methode der PTL 1 ist es notwendig, ein Modell eines zu überwachenden Systems zu erstellen, während das System normal arbeitet. Mit anderen Worten, das zu überwachende System muss sich während einer Phase, in der das Modell erstellt wird, in einem normalen Zustand befinden.
  • Die vorliegende Erfindung ist im Hinblick auf das oben beschriebene Problem gemacht worden. Eines der Ziele der vorliegenden Erfindung ist es, ein Verfahren bereitzustellen, das in der Lage ist, mit der Überwachung zu beginnen, ob ein zu überwachendes Zielsystem in einer Situation normal arbeitet, in der nicht bekannt ist, ob das System normal arbeitet.
  • [Lösung des Problems]
  • Eine Informationsverarbeitungsvorrichtung der vorliegenden Erfindung umfasst (1) eine Erfassungseinheit, die erste Ereignisinformationen erfasst, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer Standardvorrichtung verursacht wird, und zweite Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer zu bestimmenden Zielvorrichtung verursacht wird, (2) eine Klassifizierungseinheit, die jedes Ereignis, das durch die zweiten Ereignisinformationen angezeigt wird, unter Verwendung der ersten Ereignisinformationen klassifiziert, entweder als ein Ereignis einer ersten Klasse, das ein Ereignis ist, das auch in der Standardvorrichtung auftritt, oder als ein Ereignis einer zweiten Klasse, bei dem es sich um ein Ereignis handelt, das in der Standardvorrichtung nicht auftritt, (3) eine erste Lerneinheit, die das Lernen eines ersten Modells zur Bestimmung, ob ein als die erste Klasse klassifiziertes Ereignis ein Zielereignis für eine Warnung ist, durch Verwendung der zweiten Ereignisinformationen auf einem als die erste Klasse klassifizierten Ereignis durchführt, und (4) eine zweite Lerneinheit, die das Lernen eines zweiten Modells zur Bestimmung, ob ein als die zweite Klasse klassifiziertes Ereignis ein Zielereignis für eine Warnung ist, durch Verwendung der zweiten Ereignisinformationen auf einem als die zweite Klasse klassifizierten Ereignis durchführt.
  • Ein Steuerungsverfahren der vorliegenden Erfindung ist ein von einem Computer ausgeführtes Steuerungsverfahren. Das Steuerungsverfahren umfasst (1) einen Erfassungsschritt des Erfassens erster Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer Standardvorrichtung verursacht wird, und zweiter Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer zu bestimmenden Zielvorrichtung verursacht wird, (2) einen Klassifizierungsschritt zum Klassifizieren eines jeden Ereignisses, das durch die zweiten Ereignisinformationen angezeigt wird, unter Verwendung der ersten Ereignisinformationen, entweder als ein Ereignis einer ersten Klasse, das ein Ereignis ist, das auch in der Standardvorrichtung auftritt, oder als ein Ereignis einer zweiten Klasse, das ein Ereignis ist, das in der Standardvorrichtung nicht auftritt, (3) einen ersten Lernschritt zur Durchführung des Lernens eines ersten Modells zur Bestimmung, ob ein als die erste Klasse klassifiziertes Ereignis ein Warnzielereignis ist, unter Verwendung der zweiten Ereignisinformationen auf einem als die erste Klasse klassifizierten Ereignis, und (4) einen zweiten Lernschritt zur Durchführung des Lernens eines zweiten Modells zur Bestimmung, ob ein als die zweite Klasse klassifiziertes Ereignis ein Warnzielereignis ist, unter Verwendung der zweiten Ereignisinformationen auf einem als die zweite Klasse klassifizierten Ereignis.
  • Ein Programm der vorliegenden Erfindung veranlasst einen Computer, jeden der in dem Kontrollverfahren der vorliegenden Erfindung umfassten Schritte auszuführen.
  • [Vorteilhafte Auswirkungen der Erfindung]
  • Nach der vorliegenden Erfindung wird ein Verfahren bereitgestellt, das mit der Überwachung eines zu überwachenden Zielsystems in einer Situation beginnen kann, in der nicht bekannt ist, ob das System normal arbeitet.
  • Figurenliste
  • Die oben beschriebene Aufgabe und andere Aufgaben, Eigenschaften und Vorteile wird/werden durch die unten beschriebenen bevorzugten exemplarischen Ausführungsbeispiele und die beigefügten Zeichnungen noch deutlicher gemacht werden.
    • [1] 1 ist ein Diagramm, das den Umriss einer Operation einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel darstellt.
    • [2] 2 ist ein Diagramm, das eine Konfiguration einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel 1 veranschaulicht.
    • [3] 3 ist ein Diagramm, das einen Computer zur Realisierung einer Informationsverarbeitungsvorrichtung veranschaulicht.
    • [4] 4 ist ein Flussdiagramm, das einen von einer Informationsverarbeitungsvorrichtung ausgeführten Verarbeitungsfluss gemäß dem exemplarischen Ausführungsbeispiel 1 veranschaulicht.
    • [5] 5 ist ein Diagramm, das Informationen, die ein Ereignis definieren, in tabellarischer Form veranschaulicht.
    • [6] 6 ist ein Blockdiagramm, das eine funktionelle Konfiguration einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel3 veranschaulicht.
    • [7] 7 ist ein Flussdiagramm, das einen Verarbeitungsfluss veranschaulicht, der von einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel3 ausgeführt wird. [exemplarische Ausführungsbeispiele]
  • Exemplarische Ausführungsbeispiele der vorliegenden Erfindung werden im Folgenden unter Bezugnahme auf die Zeichnungen beschrieben. Es ist zu beachten, dass in allen Zeichnungen gleiche Bestandselemente durch gleiche Bezugszeichen bezeichnet werden und die Beschreibung dieser Elemente gegebenenfalls nicht wiederholt wird. Sofern nicht anders erwähnt, stellen die Blöcke in den Blockdiagrammen funktionale Komponenten dar, nicht Hardwarekomponenten.
  • [Exemplarisches Ausführungsbeispiel 1]
  • <Überblick>
  • 1 ist ein Diagramm, das den Umriss einer Operation einer Informationsverarbeitungsvorrichtung gemäß des exemplarischen Ausführungsbeispiels 1 darstellt. 1 ist ein konzeptionelles Diagramm zur Erleichterung des Verständnisses eines Betriebs einer Informationsverarbeitungsvorrichtung 2000 und schränkt den Betrieb der Informationsverarbeitungsvorrichtung 2000 in keiner Weise konkret ein.
  • In Bezug auf ein Ereignis, das durch einen Prozess in einer zu bestimmenden Zielvorrichtung 10 verursacht wird, führt eine Informationsverarbeitungsvorrichtung 2000 das Lernen (Aktualisieren) eines Modells durch, mit dem bestimmt wird, ob das Ereignis Zielereignis für eine Warnung ist. Ein „Prozess“ bedeutet hier, dass ein Programm ausgeführt wird. Ferner ist ein „Ereignis“ eine Aktion, die ein Prozess in Bezug zu einem beliebigen Objekt (ein anderer Prozess, eine Datei oder ähnliches) ausführt. Ein von einem Prozess verursachtes Ereignis ist z.B. der Start eines anderen Prozesses, eine Kommunikation mit einem anderen Prozess, ein Zugriff auf eine Datei oder ähnliches.
  • Die Zielereignisse für eine Warnung können verschiedene Ereignisse sein. Die Zielereignisse für eine Warnung sind z. B. Ereignisse, die als Ereignisse mit einem hohen Sicherheitsrisiko eingeschätzt werden, wie z. B. Ereignisse mit einer hohen Wahrscheinlichkeit für Malware-Beteiligung. Weitere Beispiele für Zielereignisse für eine Warnung werden später beschrieben.
  • Zwei Modelle, d.h. ein erstes Modell und ein zweites Modell, werden wie oben beschrieben als Modelle verwendet. Das erste Modell wird verwendet, wenn das zu bestimmende Zielereignis ein Ereignis ist, das auch in der Standardvorrichtung 20 aufgetreten ist. Dagegen wird das zweite Modell verwendet, wenn das zu bestimmende Zielereignis ein Ereignis ist, das nicht in der Standvorrichtung 20 aufgetreten ist. Nachstehend werden von den zu bestimmenden Ereignissen, die in der Zielvorrichtung 10 aufgetreten sind, Ereignisse, die auch in der Standardvorrichtung 20 aufgetreten sind, als Ereignisse der ersten Klasse und Ereignisse, die in der Standardvorrichtung 20 nicht aufgetreten sind, als Ereignisse der zweiten Klasse bezeichnet.
  • In diesem Fall ist die Standardvorrichtung 20 ein Computer, bei dem die Wahrscheinlichkeit eines normalen Betriebs als hoch eingeschätzt wird (mit einer geringen Wahrscheinlichkeit, dass eine Fehlfunktion aufgetreten ist). Wenn beispielsweise eine Warnung vor einem Ereignis mit einer hohen Wahrscheinlichkeit der Beteiligung von Malware erfolgen soll, wird ein Computer mit einer niedrigen Wahrscheinlichkeit einer Malware-Infektion als Standardvorrichtung 20 verwendet.
  • Um das Lernen der Modelle durchzuführen, erfasst die Informationsverarbeitungsvorrichtung 2000 Informationen über Ereignisse, die in der Standardvorrichtung 20 aufgetreten sind (im Folgenden als erste Ereignisinformationen bezeichnet) und Informationen über Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 aufgetreten sind (im Folgenden als zweite Ereignisinformationen bezeichnet). Unter Verwendung der ersten Ereignisinformationen klassifiziert die Informationsverarbeitungsvorrichtung 2000 jedes durch die zweiten Ereignisinformationen angezeigte Ereignis (mit anderen Worten, die in der zu bestimmenden Zielvorrichtung 10 aufgetretenen Ereignisse) als ein Ereignis der ersten Klasse oder als ein Ereignis der zweiten Klasse. Die Informationsverarbeitungsvorrichtung 2000 führt das Lernen des ersten Modells unter Verwendung der zweiten Ereignisinformationen der als erste Klasse klassifizierten Ereignisse durch. Darüber hinaus führt die Informationsverarbeitungsvorrichtung 2000 das Lernen des zweiten Modells unter Verwendung der zweiten Ereignisinformationen der als zweite Klasse klassifizierten Ereignisse durch.
  • <Vorteilhafte Auswirkungen>>
  • Da es sich bei der Standardvorrichtung 20 um einen Computer mit einer hohen Wahrscheinlichkeit eines normalen Betriebs handelt, kann davon ausgegangen werden, dass die Ereignisse, die auch in der Standardvorrichtung 20 auftreten, eine höhere Wahrscheinlichkeit haben, normale Ereignisse zu sein, als die Ereignisse, die in der Standardvorrichtung 20 nicht auftreten. Daher kann bei der Bestimmung, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Ziel für eine Warnung ist oder nicht, mit einer hohen Genauigkeit bestimmt werden, indem berücksichtigt wird, ob das Ereignis auch in der Standardvorrichtung 20 aufgetreten ist.
  • Als Modelle zur Bestimmung, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Zielereignis für eine Warnung ist, verfügt die Informationsverarbeitungsvorrichtung 2000 daher über zwei Modelle, d.h. das erste Modell zur Durchführung der Bestimmung eines Ereignisses, das auch in der Standardvorrichtung 20 aufgetreten ist (ein Ereignis der ersten Klasse), und das zweite Modell zur Durchführung der Bestimmung eines Ereignisses, das in der Standardvorrichtung 20 nicht aufgetreten ist (ein Ereignis der zweiten Klasse). Das Lernen für das erste Modell wird mit Ereignissen durchgeführt, die als erste Klasse klassifiziert sind, während das Lernen für das zweite Modell mit Ereignissen durchgeführt wird, die als zweite Klasse klassifiziert sind. Auf diese Weise ist es möglich, mit hoher Genauigkeit zu bestimmen, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Zielereignis für eine Warnung ist oder nicht, da es möglich ist, die Bestimmung vorzunehmen, während bei der Bestimmung, ob das Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Warnziel ist, zwischen einem Ereignis, das auch in der Standardvorrichtung 20 aufgetreten ist, und einem Ereignis, das in der Standardvorrichtung 20 nicht aufgetreten ist, unterschieden wird.
  • Ferner verwendet die Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel nicht die zu bestimmende Zielvorrichtung 10, sondern die Standardvorrichtung 20 als normal arbeitende Vorrichtung bei der Herstellung der Modelle. Somit können auch dann Modelle mit hoher Genauigkeit erzielt werden, wenn sich die zu bestimmende Zielvorrichtung 10 zu Beginn des Lernens der Modelle bereits in einem anomalen Zustand befindet. Daher ist es möglich, den Betrieb der Informationsverarbeitungsvorrichtung 2000 in einer Situation zu beginnen, in der nicht bekannt ist, ob die zu überwachende Vorrichtung (zu bestimmende Zielvorrichtung 10) normal arbeitet.
  • Die Informationsverarbeitungsvorrichtung 2000 gemäß dem vorliegenden exemplarischen Ausführungsbeispiel wird im folgenden ausführlicher beschrieben.
  • <Beispiel einer funktionellen Konfiguration der Informationsverarbeitungsvorrichtung 2000>
  • 2 ist ein Diagramm, das eine Konfiguration der Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel 1 zeigt. Die Informationsverarbeitungsvorrichtung 2000 beinhaltet eine Erfassungseinheit 2020, eine Klassifizierungseinheit 2040, eine erste Lerneinheit 2060 und eine zweite Lerneinheit 2080. Die Erfassungseinheit 2020 erfasst erste Ereignisinformationen und zweite Ereignisinformationen. Die ersten Ereignisinformationen sind Informationen über ein Ereignis, das durch einen Prozess in der Standardvorrichtung 20 verursacht wurde. Die zweiten Ereignisinformationen sind Informationen über ein Ereignis, das durch einen Prozess in der zu bestimmenden Zielvorrichtung 10 verursacht wurde.
  • Die Klassifizierungseinheit 2040 klassifiziert die Ereignisse, die durch die zweiten Ereignisinformationen dargestellt werden, als Ereignisse der ersten Klasse und Ereignisse der zweiten Klasse unter Verwendung der ersten Ereignisinformationen. Wie oben beschrieben, sind die Ereignisse der ersten Klasse Ereignisse, die auch in der Standardvorrichtung 20 aufgetreten sind. Darüber hinaus sind die Ereignisse der zweiten Klasse Ereignisse, die in der Standardvorrichtung 20 nicht aufgetreten sind.
  • Die erste Lerneinheit 2060 führt das Lernen des ersten Modells durch, wobei die zweiten Ereignisinformationen auf den als erste Klasse klassifizierten Ereignissen verwendet werden. Die zweite Lerneinheit 2080 führt das Lernen des zweiten Modells durch, wobei die zweiten Ereignisinformationen auf den als zweite Klasse klassifizierten Ereignissen verwendet werden.
  • <Hardware-Konfiguration der Informationsverarbeitungsvorrichtung 2000>
  • Die funktionalen Komponenteneinheiten der Informationsverarbeitungsvorrichtung 2000 können durch Hardware (z.B. fest verdrahtete elektronische Schaltungen o.ä.) zur Realisierung der funktionalen Komponenteneinheiten oder durch eine Kombination aus Hardware und Software (z.B. eine Kombination aus einer elektronischen Schaltung und einem Programm zur Steuerung der Schaltung) realisiert werden. Ein Fall, in dem die funktionalen Komponenten der Informationsverarbeitungsvorrichtung 2000 durch eine Kombination von Hardware und Software realisiert werden, wird im folgenden näher beschrieben.
  • 3 ist ein Diagramm, das einen Computer 1000 zur Realisierung einer Informationsverarbeitungsvorrichtung 2000 zeigt. Der Computer 1000 kann ein beliebiger Computer sein. Zum Beispiel kann der Computer 1000 ein Personal Computer (PC), eine Servermaschine, ein Tablet-Terminal, ein Smartphone oder ähnliches sein. Der Computer 1000 kann ein dedizierter Computer zur Realisierung der Informationsverarbeitungsvorrichtung 2000 oder ein Computer für allgemeine Zwecke sein.
  • Der Computer 1000 umfasst einen Bus 1020, einen Prozessor 1040, einen Speicher 1060, eine Speichervorrichtung 1080, eine Ein-/Ausgabeschnittstelle 1100 und eine Netzwerkschnittstelle 1120. Der Bus 1020 ist ein Datenübertragungspfad zum gegenseitigen Senden/Empfangen von Daten zwischen dem Prozessor 1040, dem Speicher 1060, der Speichervorrichtung 1080, der Eingabe-/Ausgabeschnittstelle 1100 und der Netzwerkschnittstelle 1120. Es ist jedoch zu beachten, dass das Verfahren der gegenseitigen Verbindung zwischen dem Prozessor 1040 und dergleichen nicht auf die Busverbindung beschränkt ist. Der Prozessor 1040 ist ein Prozessor wie z.B. eine zentrale Recheneinheit (CPU), eine Grafikverarbeitungseinheit (GPU) oder ein FPGA (Field Programmable Gate Array). Der Speicher 1060 ist eine Hauptspeichervorrichtung das aus einem Direktzugriffsspeicher (RAM) oder ähnlichem besteht. Die Speichervorrichtung 1080 ist eine Zusatzspeichervorrichtung, die durch ein Festplattenlaufwerk, ein Solid-State-Laufwerk (SSD), eine Speicherkarte, einen Nur-Lese-Speicher (ROM) oder ähnliches realisiert wird. Es ist jedoch zu beachten, dass die Speichervorrichtung 1080 aus einem Stück Hardware, wie z.B. RAM, bestehen kann, ähnlich wie das Stück Hardware, das die Hauptspeichervorrichtung bildet.
  • Die Ein-/Ausgabeschnittstelle 1100 ist eine Schnittstelle zum Anschluss des Computers 1000 und der Ein-/Ausgabevorrichtung. Die Netzwerkschnittstelle 1120 ist eine Schnittstelle für den Anschluss des Computers 1000 an ein Kommunikationsnetzwerk. Dieses Kommunikationsnetzwerk ist z.B. ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetzwerk (WAN). Das Verfahren der Verbindung zwischen der Netzwerkschnittstelle 1120 und dem Kommunikationsnetzwerk kann eine drahtlose Verbindung oder eine drahtgebundene Verbindung sein.
  • Die Speichervorrichtung 1080 speichert Programmmodule zur Realisierung der funktionalen Komponenteneinheiten der Informationsverarbeitungsvorrichtung 2000. Der Prozessor 1040 liest diese Programmodule in den Speicher 1060 ein und realisiert damit die den Programmodulen entsprechenden Funktionen.
  • <Über die zu bestimmenden Zielvorrichtung 10>
  • Die zu bestimmende Zielvorrichtung kann ein beliebiger Computer wie ein PC, eine Servermaschine, ein Tablet-Terminal oder ein Smartphone sein. Es kann eine zu bestimmende Zielvorrichtung 10 oder eine Vielzahl von zu bestimmenden Vorrichtungen 10 sein.
  • Hier können das erste Modell und das zweite Modell von einer Vielzahl von zu bestimmenden Vorrichtungen 10 gemeinsam genutzt werden. In diesem Fall erfasst die Informationsverarbeitungsvorrichtung 2000 zweite Ereignisinformationen von jedem der Vielzahl der zu bestimmenden Vorrichtungen 10, die sich das erste Modell und das zweite Modell teilen.
  • <Über die Standardvorrichtung 20>
  • Die Standardvorrichtung 20 kann ein beliebiger Computer wie ein PC, eine Servermaschine, ein Tablet-Terminal oder ein Smartphone sein. Wie oben beschrieben, ist die Standardvorrichtung 20 ein Computer mit einer hohen Wahrscheinlichkeit, normal zu arbeiten.
  • Die Standardvorrichtung 20 ist z.B. ein Computer, auf dem ein Betriebssystem (OS) sauber installiert wurde und dessen Betrieb noch nicht aufgenommen wurde. Es ist jedoch zu beachten, dass es sich bei der Standardvorrichtung 20 nicht unbedingt um einen Computer handeln muss, dessen Betrieb noch nicht begonnen hat, sondern um einen Computer, der in einer Situation betrieben wird, in der die Wahrscheinlichkeit des Auftretens einer Fehlfunktion gering ist. Ein solcher Computer ist z.B. ein Computer, der in einer Situation mit einer geringen Wahrscheinlichkeit einer Malware-Infektion betrieben wird, wie z.B. ein Computer, dessen Verbindung zu einem Netzwerk im Vergleich zu den Computern für allgemeine Benutzer strenger eingeschränkt ist, und ein Computer, der von einem Sicherheitsexperten betrieben wird.
  • <Verarbeitungsfluss>
  • 4 ist ein Flussdiagramm, das einen Verarbeitungsfluss veranschaulicht, der von einer Informationsverarbeitungsvorrichtung 2000 gemäß dem exemplarischen Ausführungsbeispiels 1 ausgeführt wird. Die Erfassungseinheit 2020 erfasst die ersten Ereignisinformationen (S 102). Die Erfassungseinheit 2020 erfasst die zweiteen Ereignisinformationen (S104). Die Erfassungseinheit 2040 klassifiziert jedes Ereignis, das durch die zweiten Ereignisinformationen angegeben wird, entweder als erste oder als zweite Klasse (S 106). Die erste Lerneinheit 2060 führt das Lernen des ersten Modells unter Verwendung der zweiten Ereignisinformationen auf die als erste Klasse klassifizierten Ereignisse durch (S108). Die zweite Lerneinheit 2080 führt das Lernen des zweiten Modells unter Verwendung der zweiten Ereignisinformationen auf die als zweite Klasse klassifizierten Ereignisse durch (S110).
  • Hier ist es vorzuziehen, dass das Lernen der Modelle anhand der Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 aufgetreten sind, während des Betriebs der zu bestimmenden Zielvorrichtung 10 wiederholt durchgeführt wird. So erfasst z.B. die Informationsverarbeitungsvorrichtung 2000 wiederholt zweite Ereignisinformationen, und jedes Mal, wenn die Informationsverarbeitungsvorrichtung 2000 zweite Ereignisinformationen erfasst, führt die Informationsverarbeitungsvorrichtung 2000 das Lernen der Modelle unter Verwendung der zweiten Ereignisinformationen (von S106 bis S110) durch.
  • <Über Ereignisse>
  • Wie oben beschrieben, ist ein Ereignis eine Aktion, die ein Prozess in Bezug auf ein beliebiges Objekt ausführt. Wenn ein Prozess eine Aktion in Bezug auf einen anderen Prozess als Objekt ausführt, können diese Prozesse auf demselben Betriebssystem (OS) oder auf voneinander verschiedenen Betriebssystemen arbeiten. Als Beispiel für den letzteren Fall ist es denkbar, dass ein Prozess die Kommunikation mit einem anderen Prozess ausführt, der auf einem anderen Betriebssystem arbeitet, z.B. durch Verwendung einer Socket-Schnittstelle.
  • Beispielsweise wird ein Ereignis durch Informationen identifiziert, die drei Elemente repräsentieren, nämlich Gegenstand, Objekt und Aktionsinhalte. Die Informationen, die den Gegenstand repräsentieren (im Folgenden als Gegenstandsinformationen bezeichnet), sind beispielsweise die Informationen, die den Prozess identifizieren, der das Ereignis verursacht hat. Im Folgenden wird die Information, die einen Prozess identifiziert, als
    Prozess-Identifikationsinformation bezeichnet. Prozess-Identifikationsinformationen geben z.B. den Namen eines Prozesses an. Weitere Informationen zur Prozessidentifikation sind z.B. der Name oder Pfad einer ausführbaren Datei oder ähnliches.
  • Die Informationen, die ein Objekt repräsentieren (im Folgenden als Objektinformationen bezeichnet), sind z.B. der Typ und die Identifikationsinformationen des Objekts. Der Typ eines Objekts ist z.B. Prozess, Datei, andere Vorrichtungen oder ähnliches. Wenn es sich bei dem Objekt um einen Prozess handelt, umfassen die Objektinformationen die Prozess-Identifikationsinformationen des Prozesses.
  • Wenn es sich bei dem Objekt um eine Datei handelt, umfassen die Objektinformationen Informationen, die die Datei identifizieren (im Folgenden als Datei-Identifikationsinformationen). Datei-Identifikationsinformationen sind z.B. der Name oder Pfad der Datei. Wenn es sich bei dem Objekt um eine Datei handelt, können die Objektinformationen außerdem einen Hash-Wert der Datei umfassen.
  • Handelt es sich bei dem Objekt um eine andere Vorrichtung, umfassen die Objektinformationen z.B. Identifikationsinformationen der anderen Vorrichtung (im folgenden als Vorrichtungs-Identifikationsinformationen). Vorrichtungs-Identifikationsinformationen sind z.B. eine Netzwerkadresse wie eine IP-Adresse (Internet Protocol) oder eine MAC-Adresse (Media Access Control). Es ist zu beachten, dass die andere Vorrichtung hier nicht nur eine physische Vorrichtung, sondern auch eine virtuelle Vorrichtung (eine virtuelle Maschine oder Ähnliches) sein kann. Wenn es sich bei dem Objekt um eine andere Vorrichtung handelt, können die Objektinformationen zusätzlich zu oder anstelle der Vorrichtungs-Identifikationsinformationen außerdem die Anzahl der Objekte angeben (mit anderen Worten, die Anzahl der anderen Vorrichtungen, mit denen der Prozess als Gegenstand des Ereignisses Kommunikation durchgeführt hat).
  • Informationen, die Aktionsinhalte repräsentieren (im Folgenden als Inhaltsinformationen bezeichnet), sind z.B. eine von Kennungen, die im Voraus verschiedenen Aktionsinhalten zugewiesen werden. So werden z.B. verschiedenen Aktionsinhalten voneinander verschiedene Bezeichner zugewiesen, wie „einen Prozess starten“, „einen Prozess stoppen“, „eine Datei öffnen“, „Daten aus einer Datei lesen“, „Daten in eine Datei schreiben“, „einen Socket öffnen“, „Daten aus einem Socket lesen“, „Daten in einen Socket schreiben“ und dergleichen. Es ist zu beachten, dass ein Zugriff auf einen Socket einen Zugriff auf eine andere mit dem Socket verbundene Vorrichtung bedeutet.
  • 5 ist ein Diagramm, das Informationen zur Definition eines Ereignisses in Tabellenform zeigt. Die Tabelle in 5 wird im Folgenden als die Tabelle 200 bezeichnet. Die Tabelle 200 umfasst Gegenstandsinformationen 202, Objektinformationen 204 und Inhaltsinformationen 206. Die Gegenstandsinformationen 202 umfassen Prozessnamen 208 und Pfade 210. Die Objektinformationen 204 umfassen die Typen 212 und Identifikationsinformationen 214.
  • <Über erste Ereignisinformationen>
  • Die ersten Ereignisinformationen sind die Informationen über ein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist. In Bezug auf jedes Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, geben die ersten Ereignisinformationen die oben beschriebenen Informationen (Gegenstandsinformationen, Objektinformationen und Inhaltsinformationen) an, die das Ereignis identifizieren.
  • Hier verursacht ein Prozess je nach Ausführungsumgebung, wie z.B. Typ und Version des Betriebssystems, auf unterschiedliche Weise ein Ereignis. Daher ist es vorzuziehen, erste Ereignisinformationen für jede Art von Ausführungsumgebung im Voraus bereitzustellen. Daher wird eine Vielzahl von Standardvorrichtungen 20 in verschiedenen Arten von Ausführungsumgebungen bereitgestellt, und die ersten Ereignisinformationen werden für jede der Standardvorrichtungen 20 im Voraus generiert. In einem solchen Fall umfassen die ersten Ereignisinformationen auch Informationen, die die Ausführungsumgebung repräsentieren (im Folgenden als Ausführungs-Umgebungsinformationen bezeichnet). Ausführungs-Umgebungsinformationen geben z.B. den Typ des Betriebssystems, die Versionsnummer, die Build-Nummer und die entsprechende CPU-Architektur an.
  • Die Erfassungseinheit 2020 erfasst vorzugsweise die ersten Ereignisinformationen, die für eine Standardvorrichtung 20 in derselben Ausführungsumgebung generiert werden, in der sich die zu bestimmende Zielvorrichtung 10 befindet. Es ist jedoch zu beachten, dass es denkbar ist, dass für eine Standardvorrichtung 20 in derselben Ausführungsumgebung, in der sich die zu bestimmende Zielvorrichtung 10 befindet, keine ersten Ereignisinformationen generiert werden. In einem solchen Fall erfasst die Erfassungseinheit 2020 z.B. die ersten Ereignisinformationen, die für eine Standardvorrichtung 20 in der Ausführungsumgebung erzeugt werden, die den größten Übereinstimmungsgrad mit der Ausführungsumgebung aufweist, in der sich die zu bestimmende Zielvorrichtung 10 befindet.
  • Der Übereinstimmungsgrad der Ausführungsumgebung wird z.B. als gewichteter Mittelwert der jeweiligen Übereinstimmungsgrade der in den Ausführungs-Umgebungsinformationen angegebenen Informationen (Typ und Version des Betriebssystems u.ä. wie oben beschrieben) berechnet. Der Übereinstimmungsgrad jedes Elements wird z.B. mit 1 bewertet, wenn die entsprechenden Informationen gleich sind, und mit 0, wenn sie nicht gleich sind. Was die Gewichtung anbelangt, so werden schwerere Gewichte den wichtigeren Elementen im Voraus zugewiesen. Da z.B. der Typ des Betriebssystems als wichtiger angesehen wird als die Version des Betriebssystems, wird dem Übereinstimmungsgrad des Typs des Betriebssystems ein höheres Gewicht zugewiesen als dem Übereinstimmungsgrad der Version des Betriebssystems.
  • <Über zweite Ereignisinformationen>
  • Die zweiten Ereignisinformationen sind Informationen über ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist. Die Form der zweiten Ereignisinformationen kann die gleiche sein wie die der ersten Ereignisinformationen. Beachten Sie jedoch, dass die ersten Ereignisinformationen und die zweiten Ereignisinformationen jeweils ein Ereignis identifizieren müssen, jedoch nicht in der gleichen Form vorliegen müssen.
  • <Erfassung der ersten Ereignisinformationen: S102>
  • Die Erfassungseinheit 2020 erfasst erste Ereignisinformationen (S102). Die Erfassungseinheit 2020 kann erste Ereignisinformationen auf verschiedene Weisen erfassen. Beispielsweise erfasst die Erfassungseinheit 2020 erste Ereignisinformationen von einer Speichervorrichtung, die die ersten Ereignisinformationen speichert. Diese Speichervorrichtung kann außerhalb der Informationsverarbeitungsvorrichtung 2000 (z.B. in der Standardvorrichtung 20) oder innerhalb der Informationsverarbeitungsvorrichtung 2000 bereitgestellt werden. Darüber hinaus kann die Erfassungseinheit 2020 beispielsweise erste Ereignisinformationen empfangen, die von einer anderen Vorrichtung (z.B. der Standardvorrichtung 20) übertragen werden.
  • <Erfassung der zweiten Ereignisinformationen: S104>
  • Die Erfassungseinheit 2020 erfasst zweite Ereignisinformationen (S104). Beispielsweise erfasst die Erfassungseinheit 2020 zweite Ereignisinformationen von einer Speichervorrichtung, das die zweiten Ereignisinformationen speichert. Diese Speichervorrichtung kann außerhalb der Informationsverarbeitungsvorrichtung 2000 (z.B. die zu bestimmende Zielvorrichtung 10) oder innerhalb der Informationsverarbeitungsvorrichtung 2000 bereitgestellt werden. Ferner kann die Erfassungseinheit 2020 z.B. zweite Ereignisinformationen empfangen, die von einer anderen Vorrichtung (z.B. der zu bestimmenden Zielvorrichtung 10) übertragen werden.
  • Klassifizierung der Ereignisse: S106>
  • Unter Verwendung der ersten Ereignisinformationen klassifiziert die Klassifizierungseinheit 2040 die durch die zweiten Ereignisinformationen angegebenen Ereignisse als erste Klasse oder als zweite Klasse (S 106). Dabei geben die ersten Ereignisinformationen Informationen zu den Ereignissen an, die in der Standardvorrichtung 20 aufgetreten sind. Durch Vergleich jedes durch die zweiten Ereignisinformationen angezeigten Ereignisses mit den durch die ersten Ereignisinformationen angezeigten Ereignissen bestimmt die Klassifizierungseinheit 2040 also, ob das durch die zweiten Ereignisinformationen angezeigte Ereignis mit einem der in der Standardvorrichtung 20 aufgetretenen Ereignisse identisch ist. Die Klassifizierungseinheit 2040 klassifiziert als erste Klasse ein Ereignis, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als dasselbe Ereignis wie eines der Ereignisse bestimmt wurde, die in der Standardvorrichtung 20 aufgetreten sind. Dagegen klassifiziert die Klassifizierungseinheit 2040 ein Ereignis als zweite Klasse, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als nicht identisch mit einem der in der Standardvorrichtung 20 aufgetretenen Ereignisse bestimmt wurde.
  • «Über den Vergleich von Ereignissen»
  • Das Verfahren zur Bestimmung, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, dasselbe ist wie ein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, wird beschrieben. Wie oben beschrieben, kann ein Ereignis mit drei Elementen identifiziert werden, d.h. Gegenstand, Objekt und Aktionsinhalt. Daher vergleicht die Klassifizierungseinheit 2040 ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 auftrat, mit einem Ereignis, das in der Standardvorrichtung 20 in Bezug auf diese drei Elemente auftrat, und bestimmt so, ob die Ereignisse einander gleich sind. Die Klassifizierungseinheit 2040 stellt fest, dass die zu vergleichenden Ereignisse gleich sind, wenn diese Ereignisse in Bezug auf alle diese drei Elemente gleich sind. Im Gegensatz dazu bestimmt die Klassifizierungseinheit 2040, dass die zu vergleichenden Ereignisse nicht gleich sind, wenn diese Ereignisse in Bezug auf eines oder mehrere der Elemente nicht gleich sind.
  • ««Über die Gleichheit der Gegenstände »»
  • Die Klassifizierungseinheit 2040 vergleicht die Gegenstandsinformationen zu dem durch die ersten Ereignisinformationen angegebenen Ereignis mit den Gegenstandsinformationen zu dem durch die zweiten Ereignisinformationen angegebenen Ereignis. Hier wird, wie oben beschrieben, der Gegenstand eines Ereignisses durch den Prozessnamen, den Namen einer ausführbaren Datei, den Pfad einer ausführbaren Datei oder ähnliches des Prozesses angegeben, der das Ereignis verursacht hat. Ob diese Informationen gleich sind oder nicht, kann z.B. mit Hilfe eines Algorithmus zur Bestimmung der Ähnlichkeit von Zeichenketten ermittelt werden.
  • Wenn z.B. die jeweiligen Gegenstandsinformationen dieser Ergeignisse gleich sind, bestimmt die Klassifizierungseinheit 2040, dass die Gegenstände dieser Ereignisse gleich sind. Im Gegensatz dazu stellt die Klassifizierungseinheit 2040 fest, dass die Gegenstände dieser Ereignisse nicht die gleichen sind, wenn die jeweiligen Gegenstandsinformationen dieser Ereignisse nicht die gleichen sind.
  • Es ist jedoch zu beachten, dass die Gegenstandsinformationen für im Wesentlichen die gleichen Ereignisse voneinander abweichen können. Beispielsweise können die zu bestimmende Zielvorrichtung 10 und die Standardvorrichtung 20 unterschiedliche Pfade für ausführbare Dateien mit gleichem Inhalt haben. Genauer gesagt kann der Pfad für die ausführbare Datei „fileA.exe“ auf der zu bestimmenden Zielvorrichtung 10 „C:¥dirl¥fileA.exe“ lauten, während er auf der Standardvorrichtung 20 „D:¥dir2¥fileA.exe“ lauten kann. Somit kann die Klassifizierungseinheit 2040 die Gleichheit der Ereignisse feststellen, indem sie nur die Dateinamen vergleicht, die in den Pfaden der ausführbaren Dateien enthalten sind, wenn die Gegenstandsinformationen z.B. Pfade von ausführbaren Dateien angeben.
  • ««Über die Gleichheit der Objekte »»
  • Die Klassifizierungseinheit 2040 vergleicht die Objektinformationen zu dem durch die ersten Ereignisinformationen angegebenen Ereignis mit den Objektinformationen zu dem durch die zweiten Ereignisinformationen angegebenen Ereignis. Wenn die jeweiligen Objektinformationen dieser Ereignisse gleich sind, stellt die Klassifizierungseinheit 2040 fest, dass die Objekte dieser Ereignisse gleich sind. Im Gegensatz dazu stellt die Klassifizierungseinheit 2040 fest, dass die Objekte dieser Ereignisse nicht gleich sind, wenn die jeweiligen Objektinformationen dieser Ereignisse nicht gleich sind. Es ist jedoch zu beachten, dass die Klassifizierungseinheit 2040 möglicherweise nur die Dateinamen vergleicht, wenn die Objektinformationen Pfade von ausführbaren Dateien wie oben beschrieben angeben.
  • ««Über die Gleichheit der Aktionsinhalte »»
  • Die Klassifizierungseinheit 2040 vergleicht die Inhaltsinformationen zu dem durch die ersten Ereignisinformationen angegebenen Ereignis mit den Inhaltsinformationen zu dem durch die zweiten Ereignisinformationen angegebenen Ereignis. Wenn die jeweiligen Inhaltsinformationen dieser Ereignisse gleich sind, stellt die Klassifizierungseinheit 2040 fest, dass die Aktionsinhalte dieser Ereignisse gleich sind. Wenn die jeweiligen Inhaltsinformationen dieser Ereignisse nicht gleich sind, stellt die Klassifizierungseinheit 2040 dagegen fest, dass die Aktionsinhalte dieser Ereignisse nicht gleich sind.
  • <Beschreibung der Modelle>>
  • Das erste Modell und das zweite Modell werden beschrieben. Zum Beispiel umfasst das erste Modell (1) eine Punktzahl, die auf der Anzahl des Auftretens oder der Häufigkeit des Auftretens jedes als erste Klasse klassifizierten Ereignisses basiert, und (2) einen ersten Schwellenwert. Hier wird für jedes Ereignis eine Punktzahl vergeben. Die Bestimmung, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist, erfolgt durch den Vergleich der Punktzahl des Ereignisses mit dem ersten Schwellenwert. Wenn die Punktzahl des zu bestimmenden Zielereignisses nicht größer als der erste Schwellenwert ist, bestimmt das erste Modell, dass das Ereignis ein Warnziel ist. Wenn dagegen die Punktzahl des zu bestimmenden Zielereignisses größer als der erste Schwellenwert ist, bestimmt das erste Modell, dass das Ereignis kein Warnziel ist.
  • In ähnlicher Weise umfasst das zweite Modell (1) eine Punktzahl, die auf der Anzahl des Auftretens oder der Häufigkeit des Auftretens jedes als zweite Klasse klassifizierten Ereignisses basiert, und (2) einen zweiten Schwellenwert. Auch hier wird für jedes Ereignis eine Punktzahl vergeben. Die Bestimmung, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist, erfolgt durch den Vergleich der Punktzahl des Ereignisses mit dem zweiten Schwellenwert. Wenn die Punktzahl des zu bestimmenden Zielereignisses nicht größer als der zweite Schwellenwert ist, bestimmt das zweite Modell, dass das Ereignis ein Ziel für eine Warnung ist. Wenn dagegen die Punktzahl des zu bestimmenden Zielereignisses größer als der zweite Schwellenwert ist, bestimmt das zweite Modell, dass das Ereignis kein Ziel für eine Warnung ist.
  • Es wird hier angenommen, dass die Punktzahl eines Ereignisses entsprechend der Anzahl des Auftretens des Ereignisses angegeben wird. In diesem Fall ist im ersten Modell und im zweiten Modell ein Ereignis mit einer höheren Punktzahl zu bewerten, wenn die Anzahl des Auftretens des Ereignisses größer ist. Zum Beispiel wird die Anzahl des Auftretens des Ereignisses selbst als Punktzahl des Ereignisses verwendet. Ferner kann z.B. die Anzahl des Auftretens des Ereignisses in eine nach eigenem Ermessen gewählte monoton nicht-fallende Funktion eingegeben werden, und die Ausgabe kann als Punktzahl des Ereignisses verwendet werden. Diese Funktion wird im Voraus in einer Speichervorrichtung gespeichert, auf die von der ersten Lerneinheit 2060 aus zugegriffen werden kann.
  • Andererseits wird davon ausgegangen, dass die Punktzahl eines Ereignisses nach der Häufigkeit des Auftretens des Ereignisses angegeben wird. In diesem Fall wird im ersten Modell und im zweiten Modell ein Ereignis mit einer höheren Punktzahl bewertet, wenn die Häufigkeit des Auftretens des Ereignisses höher ist. Zum Beispiel wird die Häufigkeit des Ereignisses selbst als Punktzahl des Ereignisses verwendet. Ferner kann z.B. die Häufigkeit des Auftretens des Ereignisses in eine willkürlich gewählte monoton nicht-fallende Funktion eingegeben werden, und die Ausgabe kann als Punktzahl des Ereignisses verwendet werden. Diese Funktion wird im Voraus in einer Speichervorrichtung gespeichert, auf die von der ersten Lerneinheit 2060 aus zugegriffen werden kann.
  • Mit Hilfe der oben beschriebenen Modelle kann ein Ereignis mit einer geringen Anzahl von Auftritten oder ein Ereignis mit einer geringen Häufigkeit von Auftritten als Ziel für eine Warnung behandelt werden.
  • <Lernen des ersten Modells: S108>
  • Die erste Lerneinheit 2060 führt das Lernen des ersten Modells (S108) durch. Konkret erhöht die erste Lerneinheit 2060 die Punktzahl, die das erste Modell für jedes Ereignis angibt, das zu den Ereignissen gehört, die durch die zweiten Ereignisinformationen angegeben werden und als erste Klasse klassifiziert wurde.
  • Nehmen Sie hier an, dass die Anzahl des Auftretens eines Ereignisses als Punktzahl des Ereignisses verwendet wird. In diesem Fall berechnet z.B. die erste Lerneinheit 2060 für jedes Ereignis, das zu den Ereignissen gehört, die durch die zweiten Ereignisinformationen angegeben werden und als erste Klasse klassifiziert ist, die Punktzahl auf der Grundlage der Anzahl des Auftretens des Ereignisses und führt das Lernen des ersten Modells durch, um die berechnete Punktzahl anzugeben. Hier wird die Anzahl des Auftretens jedes Ereignisses in einer Speichervorrichtung gespeichert.
  • Weiterhin wird angenommen, dass die Häufigkeit des Auftretens eines Ereignisses als Punktzahl des Ereignisses verwendet wird. In diesem Fall berechnet z.B. die erste Lerneinheit 2060 für jedes Ereignis, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als erste Klasse klassifiziert wird, die Häufigkeit des Ereignisses. Anhand der Punktzahl, die auf der Häufigkeit des Auftretens der für jedes Ereignis berechneten Ereignisse basiert, aktualisiert die erste Lerneinheit 2060 dann die Punktzahl des Ereignisses.
  • Es ist zu beachten, dass die Häufigkeit des Auftretens eines Ereignisses die Häufigkeit des Auftretens während des gesamten Zeitraums seit der Inbetriebnahme der zu bestimmenden Zielvorrichtung 10 oder die Häufigkeit des Auftretens während eines Teils des Zeitraums sein kann. Im letzteren Fall berechnet z.B. die erste Lerneinheit 2060 für jedes Ereignis, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als erste Klasse klassifiziert ist, die Häufigkeit des Auftretens des Ereignisses, indem sie die Anzahl des Auftretens während der vorbestimmten letzten Periode durch die Länge der vorbestimmten Periode dividiert. Es ist zu beachten, dass die Anzahl des Auftretens des Ereignisses während der vorbestimmten letzten Periode identifiziert werden kann, indem das Datum und die Uhrzeit des Auftretens jedes Ereignisses in einer Speichervorrichtung gespeichert werden.
  • <Lernen des zweiten Modells: S110>
  • Die zweite Lerneinheit 2080 führt das Lernen des zweiten Modells (S110) durch. Konkret erhöht die zweite Lerneinheit 2080 die Punktzahl im zweiten Modell für jedes Ereignis, das zu den Ereignissen gehört, die durch die zweiten Ereignisinformationen angegeben und als zweite Klasse klassifiziert wurden. Es ist zu beachten, dass die Methode zur Aktualisierung der Punktzahl dieselbe ist wie für das erste Modell.
  • <Unterschied zwischen dem ersten Modell und dem zweiten Modell>
  • Das erste Modell und das zweite Modell ähneln sich insofern, als dass sie beide dazu dienen, zu bestimmen, ob ein zu bestimmendes Zielereignis ein Ziel für eine Warnung ist. Andererseits unterscheidet sich das erste Modell insofern vom zweiten Modell, als dass das erste Modell bei einer Bestimmung für die als erste Klasse klassifizierten Ereignisse verwendet wird, während das zweite Modell bei einer Bestimmung für die als zweite Klasse klassifizierten Ereignisse verwendet wird.
  • Hier wird, wie oben beschrieben, ein Ereignis der ersten Klasse wahrscheinlich ein normales Ereignis sein. Somit ist ein Ereignis der ersten Klasse wahrscheinlicher ein Ereignis, das nicht als Warnziel behandelt werden muss, als ein Ereignis der zweiten Klasse. Daher ist es vorzuziehen, das erste Modell und das zweite Modell so zu konstruieren, dass ein Ereignis der ersten Klasse mit geringerer Wahrscheinlichkeit als ein Ereignis der zweiten Klasse als Warnziel behandelt wird. Im Folgenden werden zwei Methoden beschrieben, um die Modelle auf diese Weise zu konstruieren.
  • «Erstes Verfahren»
  • Der erste Schwellenwert, der im ersten Modell als Bestimmungskriterium verwendet wird, ist auf einen kleineren Wert festgelegt als der zweite Schwellenwert, der im zweiten Modell als Bestimmungskriterium verwendet wird. Beispielsweise angenommen, dass der erste Schwellenwert im ersten Modell Th1 und der zweite Schwellenwert im zweiten Modell Th2 ist. In diesem Fall werden Th1 und Th2 so gewählt, dass Th1 < Th2. Auf diese Weise wird ein Ereignis mit einer Punktzahl, die nicht größer als Th1 ist, als ein Warnziel behandelt, unabhängig davon, ob das Ereignis als erste oder zweite Klasse klassifiziert wird. Andererseits wird ein Ereignis mit einer Punktzahl, die größer als Th1 und nicht größer als Th2 ist, nicht als Ziel für eine Warnung behandelt, wenn es als erste Klasse klassifiziert wird, aber wird als Ziel für eine Warnung behandelt, wenn es als zweite Klasse klassifiziert wird. Daraus folgt, dass ein Ereignis der ersten Klasse mit geringerer Wahrscheinlichkeit als ein Ereignis der zweiten Klasse als Ziel für eine Warnung behandelt wird.
  • In diesem Fall können der erste Schwellenwert und der zweite Schwellenwert auf einen beliebigen Wert eingestellt werden, unter der Bedingung, dass der erste Schwellenwert kleiner als der zweite Schwellenwert ist. Diese Schwellenwerte werden im Voraus in einer Speichervorrichtung gespeichert, auf die über die Informationsverarbeitungsvorrichtung 2000 zugegriffen werden kann.
  • «Zweites Verfahren»
  • Durch die Einführung eines Unterschieds zwischen den Lerngraden im ersten Modell und im zweiten Modell wird sichergestellt, dass ein Ereignis der ersten Klasse mit geringerer Wahrscheinlichkeit als Ziel für eine Warnung behandelt wird als ein Ereignis der zweiten Klasse. Insbesondere wird die Punktzahl eines Ereignisses der ersten Klasse beim Lernen des ersten Modells um einen größeren Betrag erhöht als die Punktzahl eines Ereignisses der zweiten Klasse beim zweiten Modell. Beispielsweise werden die Punktwerte im ersten Modell und im zweiten Modell jeweils wie folgt definiert.
  • [Equation 1]
  • S 1 i = f ( n i ) = α n i S 2 j = g ( n j ) = β n j s .t α > β
    Figure DE112018007202T5_0001
  • S1i repräsentiert die Punktzahl eines Ereignisses i der ersten Klasse und ni repräsentiert die Anzahl des Auftretens des Ereignisses i. S2j repräsentiert die Punktzahl eines Ereignisses j der zweiten Klasse und nj repräsentiert die Anzahl des Auftretens des Ereignisses j. α und β sind positive reelle Zahlen. f(ni) ist eine Funktion zur Umwandlung der Anzahl des Auftretens ni des Ereignisses i der ersten Klasse in die Punktzahl S1i und g(nj) ist eine Funktion zur Umwandlung der Anzahl des Auftretens nj des Ereignisses j der zweiten Klasse in die Punktzahl S2j. Beides sind oben beschriebene monoton nicht-fallende Funktionen.
  • In der obigen Gleichung (1) ist die Punktzahl eines Ereignisses der ersten Klasse ein Wert, der durch Multiplikation der Anzahl des Auftretens des Ereignisses mit α berechnet wird. Die Punktzahl eines Ereignisses der ersten Klasse erhöht sich also um α, wenn die Anzahl des Auftretens um 1 steigt. Andererseits ist die Punktzahl eines Ereignisses der zweiten Klasse ein Wert, der durch Multiplikation der Anzahl des Auftretens des Ereignisses mit β berechnet wird. So erhöht sich die Punktzahl eines Ereignisses der zweiten Klasse um β, wenn die Anzahl des Auftretens um 1 zunimmt. Da α>β, erhöht sich die Punktzahl eines Ereignisses der ersten Klasse um einen größeren Betrag als die Punktzahl eines Ereignisses der zweiten Klasse.
  • Es sei darauf hingewiesen, dass die auf der Grundlage der Häufigkeit des Auftretens berechneten Punktzahlen definiert werden können, indem die Anzahl des Auftretens durch die Häufigkeit des Auftretens in der Gleichung (1) ersetzt wird.
  • In einem Fall, in dem auf diese Weise ein Unterschied zwischen den Lerngraden im ersten Modell und im zweiten Modell eingeführt wird, können der erste Schwellenwert und der zweite Schwellenwert derselbe Wert sein. Beachten Sie jedoch, dass auch in diesem Fall der erste Schwellenwert auf einen kleineren Wert als der zweite Schwellenwert gesetzt werden kann.
  • >Über das Generieren der Modelle>
  • Das erste Modell und das zweite Modell können im Voraus generiert und in einer Speichervorrichtung gespeichert werden oder durch die Informationsverarbeitungsvorrichtung 2000 generiert werden. Im letzteren Fall erzeugt z.B. die erste Lerneinheit 2060 das erste Modell, wenn das erste Modell zum Zeitpunkt der Ausführung des Lernens des ersten Modells noch nicht erzeugt worden ist (wenn das erste Modell nicht in einer Speichervorrichtung gespeichert worden ist). In ähnlicher Weise generiert z.B. die zweite Lerneinheit 2080 das zweite Modell, wenn das zweite Modell zum Zeitpunkt der Ausführung des Lernens des zweiten Modells noch nicht generiert wurde (wenn das zweite Modell nicht in einer Speichervorrichtung gespeichert wurde).
  • [Exemplarisches Ausführungsbeispiel 2]
  • Eine funktionelle Konfiguration der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 2 ist in 2 dargestellt, ähnlich wie die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 1. Mit Ausnahme der nachfolgend beschriebenen Sachverhalte hat die Informationsverarbeitungsvorrichtung 2000 nach der dem exemplarischen Ausführungsbeispiel 2 dieselben Funktionen wie die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 1.
  • Nach dem vorliegenden exemplarischen Ausführungsbeispiel wird das erste Modell im Voraus auf der Grundlage von Ereignissen generiert, die in der Standardvorrichtung 20 aufgetreten sind. Die erste Lerneinheit 2060 führt das Lernen dieses ersten Modells durch. Dazu erfasst die Erfassungseinheit 2020 nach dem exemplarischen Ausführungsbeispiel 2 das erste Modell. Dann führt die erste Lerneinheit 2060 nach dem exemplarischen Ausführungsbeispiel 2 das Lernen des erfassten ersten Modells durch.
  • Es ist zu beachten, dass das erste Modell auf der Grundlage von Ereignissen, die in der Standardvorrichtung 20 aufgetreten sind, nach demselben Verfahren generiert wird wie das Verfahren, mit dem die erste Lerneinheit 2060 das erste Modell im exemplarischen Ausführungsbeispiel 1 generiert. Beispielsweise wird das erste Modell unter Verwendung der oben beschriebenen Gleichung (1) generiert.
  • Es ist zu beachten, dass das erste Modell in der Informationsverarbeitungsvorrichtung 2000 erzeugt werden kann oder in einer anderen Vorrichtung als der Informationsverarbeitungsvorrichtung 2000 erzeugt werden kann. Wenn die Informationsverarbeitungsvorrichtung 2000 das erste Modell erzeugt, erfasst die Informationsverarbeitungsvorrichtung 2000 Informationen, die Ereignisse darstellen, die in der Standardvorrichtung 20 aufgetreten sind, wie die in 5 dargestellte Tabelle 200, und erzeugt das erste Modell unter Verwendung dieser Informationen.
  • <Vorteilhafte Auswirkungen>
  • Nach der Informationsverarbeitungsvorrichtung 2000 gemäß dem vorliegenden exemplarischen Ausführungsbeispiel wird der Betrieb der Informationsverarbeitungsvorrichtung 2000 begonnen, nachdem das erste Modell bis zu einem gewissen Grad unter Verwendung der Ereignisse, die in der Standardvorrichtung 20 aufgetreten sind, gelernt wurde. Dadurch ist es möglich, eine genaue Bestimmung in Bezug auf die Ereignisse der ersten Klasse in einem frühen Stadium vorzunehmen, im Vergleich zu dem Fall, in dem das erste Modell nicht im Voraus gelernt wurde. Da ferner die Informationen über die Ereignisse, die in der Standardvorrichtung 20 aufgetreten sind, nicht nur zur Klassifizierung der Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 aufgetreten sind, sondern auch zum Lernen des ersten Modells verwendet werden können, wird die Standardvorrichtung 20 effektiver genutzt.
  • <Beispiel einer Hardware-Konfiguration>
  • Eine Hardwarekonfiguration eines Rechners zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 2 kann z.B. durch 3, ähnlich dem exemplarischen Ausführungsbeispiel 1, veranschaulicht werden. Beachten Sie jedoch, dass die Speichervorrichtung 1080 des Rechners 1000 zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel weiterhin Programmmodule zur Realisierung der Funktionen der Informationsverarbeitungsvorrichtung 2000 entsprechend dem vorliegenden exemplarischen Ausführungsbeispiel speichert.
  • [Exemplarisches Ausführungsbeispiel 3]
  • 6 ist ein Blockdiagramm, das eine funktionelle Konfiguration der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 zeigt. Mit Ausnahme der nachfolgend beschriebenen Sachverhalte hat die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 dieselben Funktionen wie die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 1 oder 2.
  • Die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 erfasst Informationen über ein zu bestimmendes Zielereignis und bestimmt, ob das zu bestimmende Zielereignis ein Warnziel ist. Wenn das zu bestimmende Zielereignis ein Warnziel ist, gibt die Informationsverarbeitungsvorrichtung 2000 gemäß dem exemplarischen Ausführungsbeispiel 3 einen vorbestimmte Warnhinweis aus.
  • Zu diesem Zweck umfasst die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 eine Bestimmungseinheit 2120 und eine Warneinheit 2140. Ferner erfasst die Erfassungseinheit 2020 nach dem exemplarischen Ausführungsbeispiel 3 Informationen über das zu bestimmende Zielereignis. Die Klassifizierungseinheit 2040 bestimmt anhand der ersten Ereignisinformationen, ob das zu bestimmende Zielereignis in die erste Klasse oder in die zweite Klasse klassifiziert werden soll. Insbesondere dann, wenn das zu bestimmende Zielereignis dasselbe ist wie ein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, wird das zu bestimmende Zielereignis in die erste Klasse klassifiziert, und wenn das zu bestimmende Zielereignis nicht dasselbe ist wie irgendein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, wird das zu bestimmende Zielereignis in die zweite Klasse klassifiziert.
  • Wenn das zu bestimmende Zielereignis als erste Klasse klassifiziert wird, bestimmt die Bestimmungseinheit 2120 anhand des ersten Modells, ob das zu bestimmende Zielereignis ein Warnzielereignis ist. Ferner bestimmt die Bestimmungseinheit 2120, wenn das zu bestimmende Zielereignis als zweite Klasse klassifiziert wird, mit Hilfe des zweiten Modells, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist. Es ist zu beachten, dass das Verfahren zur Bestimmung unter Verwendung des ersten Modells, ob das Ereignis der ersten Klasse ein Ziel für eine Warnung ist, und das Verfahren zur Bestimmung unter Verwendung des zweiten Modells, ob das Ereignis der zweiten Klasse ein Ziel für eine Warnung ist, wie in Bezug auf das exemplarische Ausführungsbeispiel 1 beschrieben ist.
  • Die Warneinheit 2140 gibt einen vorbestimmte Warnhinweis aus, wenn festgestellt wurde, dass das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist.
  • <Vorteilhafte Auswirkungen>
  • Die Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel führt eine Klassifizierung durch, ob das zu bestimmende Zielereignis ein Ereignis ist, das auch in der Standardvorrichtung 20 oder anderweitig aufgetreten ist, und bestimmt anhand eines Modells gemäß der Klassifizierung, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist. Dadurch ist es möglich, im Vergleich zu einem Fall, in dem eine solche Klassifizierung nicht berücksichtigt wird, genau zu bestimmen, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist. Da ferner ein Warnhinweis ausgegeben wird, wenn festgestellt wird, dass das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist, kann der Administrator oder dergleichen der zu bestimmenden Zielvorrichtung 10 erkennen, dass eine Anomalie in der zu bestimmenden Zielvorrichtung 10 vorliegen kann.
  • <Beispiel einer Hardware-Konfiguration>
  • Eine Hardwarekonfiguration eines Rechners zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 lässt sich, ähnlich wie beim exemplarischen Ausführungsbeispiel 1, durch 3 veranschaulichen. Es ist jedoch zu beachten, dass die Speichereinrichtung 1080 des Rechners 1000 zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel weitere Programmodule zur Realisierung der Funktionen der Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel speichert.
  • <Verarbeitungsfluss>>
  • 7 ist ein Flussdiagramm, das einen Verarbeitungsfluss veranschaulicht, der durch die Informationsverarbeitungsvorrichtung 2000 gemäß dem exemplarischen Ausführungsbeispiel 3 ausgeführt wird. Die Erfassungseinheit 2020 erfasst die ersten Ereignisinformationen (S201). Die Erfassungseinheit 2020 erfasst Informationen über das zu bestimmende Zielereignis (S202). Die Klassifizierungseinheit 2040 bestimmt, ob das zu bestimmende Zielereignis in die erste Klasse oder in die zweite Klasse klassifiziert wird (S204). Wenn das zu bestimmende Zielereignis in die erste Klasse klassifiziert wird (S204: ERSTE KLASSE), bestimmt die Bestimmungseinheit 2120 anhand des ersten Modells, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist (S206). Wenn das zu bestimmende Zielereignis ein Warnzielereignis ist (S206: WARNZIEL), gibt die Bestimmungseinheit 2140 einen Warnhinweis aus (S208). Wenn das zu bestimmende Zielereignis kein Warnziel ist (S206: KEIN WARNZIEL), endet die Verarbeitung von 7.
  • Wenn das zu bestimmende Zielereignis als zweite Klasse klassifiziert ist (S204: ZWEITE KLASSE), bestimmt die Bestimmungseinheit 2120 anhand des zweiten Modells, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist (S210). Wenn das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist (S210: JA), gibt die Warneinheit 2140 einen Warnhinweis aus (S208). Wenn das zu bestimmende Zielereignis kein Ziel für eine Warnung ist (S210: NEIN), wird die Verarbeitung von 7 beendet.
  • <Über Warnung>
  • Bei dem von der Warneinheit 2140 ausgegebenen Warnhinweis kann es sich um verschiedene Informationen handeln. Bei dem Warnhinweis kann es sich beispielsweise um eine Zeichenfolge, ein Bild oder einen Ton handeln, die bzw. der das Eintreten Warnzielereignisses meldet. Es ist zu beachten, dass der Warnhinweis vorzugsweise Informationen zur Identifizierung des zu bestimmenden Zielereignisses enthält, das als Ziel für eine Warnung festgelegt wurde (Gegenstandsformationen, Objektinformationen und Inhaltsinformationen).
  • Der Warnhinweis kann an verschiedene Ausgabeziele ausgegeben werden. Beispielsweise wird der Warnhinweis an einen vom Administrator genutzten Computer o.ä. der zu bestimmenden Zielvorrichtung 10 ausgegeben. Bei diesem Computer kann es sich um einen stationären Computer (einen Desktop-PC o.ä.) oder um einen tragbaren Computer (ein mobiles Terminal o.ä.) handeln. Ferner können die Warnhinweise an den Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 übertragen werden. In diesem Fall werden die Warnhinweise an den Administrator o.ä. der zu bestimmenden Zielvorrichtung z.B. per E-Mail o.ä. übermittelt.
  • Darüber hinaus können z.B. Warnhinweise in einer Speichervorrichtung gespeichert werden, auf die von dem vom Administrator benutzten Computer o.ä. der zu bestimmenden Zielvorrichtung 10 aus zugegriffen werden kann. Genauer gesagt ist diese Speichervorrichtung mit einer Protokolldatei versehen, in der Informationen zu einem Warnzielereigni gespeichert werden, wenn ein solches Ereignis eintritt. Wenn ein zu bestimmendes Zielereignis als Ziel für eine Warnung bestimmt worden ist, fügt die Warneinheit 2140 dieser Protokolldatei Informationen über das zu bestimmende Zielereignis hinzu. Durch Bezugnahme auf diese Protokolldatei kann der vom Administrator o.ä. verwendete Computer der zu bestimmenden Zielvorrichtung 10 die Informationen über das Zielereignis für eine Warnung erfassen, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist.
  • <Über das zu bestimmenden Zielereignis>
  • Die zu bestimmenden Zielereignisse können die gleichen oder andere als die für das Lernen der Modelle verwendeten Ereignisse sein. Im ersten Fall bestimmt die Informationsverarbeitungsvorrichtung 2000 in Bezug auf ein Ereignis, das durch die zweiten Ereignisinformationen angezeigt wird, nicht nur, ob das Ereignis ein Ziel für eine Warnung ist, sondern führt auch das Lernen der Modelle unter Verwendung des Ereignisses durch. Daher können in einem frühen Stadium des Lernens der Modelle über die zu bestimmende Zielvorrichtung 10 viele Ereignisse, die durch die zweiten Ereignisinformationen angezeigt werden, als Ziele für eine Warnung bestimmt werden. Im Laufe des weiteren Betriebs der zu bestimmenden Zielvorrichtung 10 schreitet jedoch das Lernen der Modelle voran, und die Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 häufig vorkommen, werden mit geringerer Wahrscheinlichkeit als Ziel für eine Warnung bestimmt werden. Auf der anderen Seite werden die Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 selten vorkommen, weiterhin als Ziele für eine Warnung bestimmt. Wie oben beschrieben, ist es durch die Verwendung der zu bestimmenden Zielereignisse auch für das Lernen der Modelle möglich, die Modelle während des Betriebs der zu bestimmenden Zielvorrichtung 10 auszureifen.
  • Es ist zu beachten, dass bei Verwendung der zu bestimmenden Zielereignisse für das Lernen der Modelle zunächst die Bestimmung durch die Bestimmungseinheit 2120 oder das Lernen der Modelle durchgeführt werden kann.
  • Wenn die zu bestimmenden Zielereignisse auch für das Lernen der Modelle verwendet werden, können hier, wie oben beschrieben, viele Ereignisse als Warnziel in einem frühen Stadium nach Beginn des Betriebs der zu bestimmenden Zielvorrichtung 10 bestimmt werden. So kann eine Anordnung getroffen werden, um erst dann einen Warnhinweis auszugeben, wenn eine vorbestimmte Bedingung, wie z.B. der Ablauf einer vorbestimmten Zeitspanne nach Beginn des Betriebs der zu bestimmenden Zielvorrichtung 10, erfüllt ist. Eines der Verfahren zur Verhinderung der Ausgabe eines Warnhinweis durch die Informationsverarbeitungsvorrichtung 2000 besteht darin, die Warneinheit 2140 am Betrieb zu hindern, bis die oben beschriebene vorbestimmte Bedingung erfüllt ist. Ein anderes Verfahren besteht darin, die Warneinheit 2140 so zu konfigurieren, dass sie „einen Warnhinweis nur dann ausgibt, wenn das zu bestimmende Zielereignis als Ziel für eine Warnung bestimmt worden ist und die oben beschriebene vorbestimmte Bedingung erfüllt ist“.
  • Ferner kann das Verfahren zur Ausgabe eines Warnhinweises geändert werden, je nachdem, ob die oben beschriebene vorgegebene Bedingung erfüllt ist. Wenn beispielsweise die vorgegebene Bedingung erfüllt ist, wird der Warnhinweis in einer Form ausgegeben, die der Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 umgehend erkennen kann. Wenn z.B. das zu bestimmende Zielereignis als Ziel für eine Warnung bestimmt worden ist, sendet die Warneinheit 2140 einen Warnhinweis an ein vom Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 verwendetes Terminal, wenn die vorbestimmte Bedingung erfüllt ist, während die Warneinheit 2140 einen Warnhinweis in eine Protokolldatei ausgibt, wenn die vorbestimmte Bedingung nicht erfüllt ist.
  • Dadurch kann in einer Situation, in der die Modelle noch nicht ausgereift sind und häufig Warnhinweise ausgegeben werden, die Belästigung des Administrators o.ä. der zu bestimmenden Zielvorrichtung 10 reduziert werden, während dem Administrator o.ä. weiterhin Warnhinweise zur Verfügung gestellt werden. Ferner erfordert die Ausgabe eines Warnhinweises in einer Form, die der Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 umgehend erkennen kann, im Allgemeinen mehr Computerressourcen. Daher ist es in einer Situation, in der Warnhinweise häufig ausgegeben werden, weil die Modelle noch nicht ausgereift sind, auch von Vorteil, die verbrauchten Computerressourcen zu reduzieren.
  • Die oben beschriebene vorbestimmte Bedingung kann eine andere sein als die Bedingung, dass eine vorbestimmte Zeitspanne nach Beginn des Betriebs der zu bestimmenden Zielvorrichtung 10 abläuft. Die Bedingung kann z.B. sein, dass die Anzahl der Ereignisse, die zum Lernen verwendet wurden, nicht kleiner als eine vorbestimmte Anzahl ist.
  • Exemplarische Ausführungsbeispiele der vorliegenden Erfindung wurden oben unter Bezugnahme auf die Zeichnungen beschrieben. Dies sind Beispiele für die vorliegende Erfindung, und es ist möglich, eine Kombination der oben beschriebenen exemplarischen Ausführungsbeispiele oder verschiedene andere als die oben beschriebenen Konfigurationen zu übernehmen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2008129714 [0003]

Claims (17)

  1. Eine Informationsverarbeitungsvorrichtung, umfassend: eine Erfassungseinheit, die erste Ereignisinformationen erfasst, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer Standardvorrichtung verursacht wird, und zweite Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer zu bestimmenden Zielvorrichtung verursacht wird; eine Klassifizierungseinheit, die unter Verwendung der ersten Ereignisinformationen jedes Ereignis, das durch die zweiten Ereignisinformationen angezeigt wird, entweder als ein Ereignis einer ersten Klasse, das ein Ereignis ist, das auch in der Standardvorrichtung auftritt, oder als ein Ereignis einer zweiten Klasse, das ein Ereignis ist, das in der Standardvorrichtung nicht auftritt, klassifiziert; eine erste Lerneinheit, die das Lernen eines ersten Modells durchführt, um zu bestimmen, ob ein Ereignis, das als die erste Klasse klassifiziert ist, ein Zielereignis für eine Warnung ist, indem die zweite Ereignisinformation über ein Ereignis, das als die erste Klasse klassifiziert ist, verwendet wird; und eine zweite Lerneinheit, die das Lernen eines zweiten Modells durchführt, um zu bestimmen, ob ein als zweite Klasse klassifiziertes Ereignis ein Zielereignis für eine Warnung ist, indem die Informationen des zweiten Ereignisses über ein als zweite Klasse klassifiziertes Ereignis verwendet werden.
  2. Die Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei ein Zielereignis für eine Warnung ein Ereignis ist, an dem Malware beteiligt ist.
  3. Die Informationsverarbeitungsvorrichtung nach Anspruch 1 oder 2, wobei das erste Modell für jedes als erste Klasse eingestufte Ereignis eine Punktzahl angibt, die auf einer Anzahl des Auftretens oder einer Häufigkeit des Auftretens des Ereignisses basiert, und bestimmt, dass ein zu bestimmendes Zielereignis ein Ziel für eine Warnung ist, wenn die Punktzahl des Ereignisses gleich oder größer als ein erster Schwellenwert ist, das zweite Modell für jedes als zweite Klasse eingestufte Ereignis eine Punktzahl angibt, die auf einer Anzahl des Auftreetens oder einer Häufigkeit des Auftretens des Ereignisses basiert, und bestimmt, dass ein zu bestimmendes Zielereignis ein Ziel für eine Warnung ist, wenn die Punktzahl des Ereignisses gleich oder größer als ein zweiter Schwellenwert ist, die erste Lerneinheit das Lernen des ersten Modells durchführt, indem sie im ersten Modell die Punktzahl eines Ereignisses erhöht, das als erste Klasse unter den Ereignissen klassifiziert wird, die durch die zweiten Ereignisinformationen angezeigt werden, und die zweite Lerneinheit das Lernen des zweiten Modells durchführt, indem sie im zweiten Modell die Punktzahl eines Ereignisses erhöht, das unter den durch die zweiten Ereignisinformationen angegebenen Ereignissen als zweite Klasse eingestuft wird.
  4. Die Informationsverarbeitungsvorrichtung nach Anspruch 3, wobei der erste Schwellenwert größer als der zweite Schwellenwert ist.
  5. Die Informationsverarbeitungsvorrichtung nach Anspruch 3, wobei ein Betrag einer Punktzahl, die die erste Lerneinheit erhöht, größer ist als ein Betrag einer Punktzahl, die die zweite Lerneinheit erhöht.
  6. Die Informationsverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 5, wobei die erste Lerneinheit das erste Modell erfasst, das auf der Grundlage jedes der Ereignisse erzeugt wird, die in der Standardvorrichtung auftreten, und auf der Grundlage der zweiten Ereignisinformationen das Lernen des erfassten ersten Modells durchführt.
  7. Die Informationsverarbeitungsvorrichtung gemäß einem der Ansprüche 1 bis 6, wobei die Erfassungseinheit Informationen über ein zu bestimmendes Zielereignis erfasst, und die Klassifizierungseinheit bestimmt, ob das zu bestimmende Zielereignis als erste oder zweite Klasse klassifiziert wird, die Vorrichtung ferner umfasst: eine Bestimmungseinheit, die unter Verwendung des ersten Modells bestimmt, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist, wenn das zu bestimmende Zielereignis als die erste Klasse klassifiziert ist, und unter Verwendung des zweiten Modells bestimmt, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist, wenn das zu bestimmende Zielereignis als die zweite Klasse klassifiziert ist; und eine Warneinheit, die einen vorbestimmte Warnhinweis ausgibt, wenn festgestellt wird, dass das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist.
  8. Die Informationsverarbeitungsvorrichtung nach Anspruch 7, wobei das zu bestimmende Zielereignis ein Ereignis ist, das durch die zweiten Ereignisinformationen angezeigt wird.
  9. Ein Steuerungsverfahren, das von einem Computer ausgeführt wird, wobei das Verfahren umfasst: einen Erfassungsschritt des Erfassens erster Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer Standardvorrichtung verursacht wird, und zweiter Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen zu bestimmenden Prozess in einer Zielvorrichtung verursacht wird; einen Klassifizierungsschritt zum Klassifizieren jedes durch die zweiten Ereignisinformationen angezeigten Ereignisses unter Verwendung der ersten Ereignisinformationen, entweder als ein Ereignis einer ersten Klasse, das ein Ereignis ist, das auch in der Standardvorrichtung auftritt, oder als ein Ereignis einer zweiten Klasse, das ein Ereignis ist, das in der Standardvorrichtung nicht auftritt, einen ersten Lernschritt zur Durchführung des Lernens eines ersten Modells zur Bestimmung, ob ein Ereignis, das als die erste Klasse klassifiziert ist, ein Zielereignis für eine Warnung ist, unter Verwendung der zweiten Ereignisinformationen über ein Ereignis, das als die erste Klasse klassifiziert ist, und einen zweiten Lernschritt zur Durchführung des Lernens eines zweiten Modells zur Bestimmung, ob ein als zweite Klasse klassifiziertes Ereignis ein Zielereignis für eine Warnung ist, unter Verwendung der zweiten Ereignisinformation über ein als zweite Klasse klassifiziertes Ereignis.
  10. Das Kontrollverfahren nach Anspruch 9, wobei ein Zielereignis für eine Warnung ein Ereignis ist, an dem Malware beteiligt ist.
  11. Das Steuerungsverfahrennach Anspruch 9 oder 10, wobei das erste Modell für jedes als erste Klasse eingestufte Ereignis eine Punktzahl angibt, die auf einer Anzahl des Auftretens oder einer Häufigkeit des Auftretens des Ereignisses basiert, und bestimmt, dass ein zu bestimmendes Zielereignis ein Ziel für eine Warnung ist, wenn die Punktzahl des Ereignisses gleich oder größer als ein erster Schwellenwert ist, das zweite Modell für jedes als zweite Klasse eingestufte Ereignis eine Punktzahl angibt, die auf einer Anzahl des Auftretens oder einer Häufigkeit des Auftretens des Ereignisses basiert, und bestimmt, dass ein zu bestimmendes Zielereignis ein Ziel für eine Warnung ist, wenn die Punktzahl des Ereignisses gleich oder größer als ein zweiter Schwellenwert ist, im ersten Lernschritt das Lernen des ersten Modells durchgeführt wird, indem im ersten Modell die Punktzahl eines Ereignisses erhöht wird, das unter den Ereignissen, die durch die zweiten Ereignisinformationen angezeigt werden, als erste Klasse eingestuft wird, und im zweiten Lernschritt das Lernen des zweiten Modells durchgeführt wird, indem im zweiten Modell die Punktzahl eines Ereignisses erhöht wird, das unter den durch die zweiten Ereignisinformationen angegebenen Ereignissen als zweite Klasse eingestuft wird.
  12. Steuerungsverfahrennach Anspruch 11, wobei der erste Schwellenwert größer als der zweite Schwellenwert ist.
  13. Steuerungsverfahrennach Anspruch 11, bei dem ein Betrag einer Punktzahl, die im ersten Lernschritt erhöht wird, größer ist als ein Betrag einer Punktzahl, die im zweiten Lernschritt erhöht wird.
  14. Das Steuerungsverfahrennach einem der Ansprüche 9 bis 13, wobei die ersten Ereignisinformationen das erste Modell sind, das auf der Grundlage jedes der Ereignisse, die in der Standardvorrichtung aufgetreten sind, generiert wird, und im ersten Lernschritt das Lernen des ersten Modells, das als erste Ereignisinformationen erfasst wurde, auf der Grundlage der zweiten Ereignisinformationen durchgeführt wird.
  15. Das Steuerungsverfahrennach einem der Ansprüche 9 bis 14, wobei beim Erfassungsschritt Informationen über ein zu bestimmendes Zielereignis erfasst werden, und beim Klassifizierungsschritt festgelegt wird, ob das zu bestimmende Zielereignis als erste oder zweite Klasse klassifiziert wird, das Verfahren umfasst ferner: einen Bestimmungsschritt des Bestimmens, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist, unter Verwendung des ersten Modells, wenn das zu bestimmende Zielereignis als die erste Klasse klassifiziert ist, und des Bestimmens, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist, unter Verwendung des zweiten Modells, wenn das zu bestimmende Zielereignis als die zweite Klasse klassifiziert ist; und einen Warnschritt zur Ausgabe eines vorgegebenen Warnhinweises, wenn festgestellt wird, dass das zu bestimmende Zielereignis ein Ziel für eine Warnuing ist.
  16. Steuerungsverfahrennach Anspruch 15, wobei das zu bestimmende Zielereignis ein Ereignis ist, das durch die zweiten Ereignisinformationen angezeigt wird.
  17. Ein nicht-transitorisches computerlesbares Medium, das ein Programm speichert, das einen Computer veranlasst, jeden der Schritte eines Steuerungsverfahrens auszuführen, welches aufweist:: Erfassen erster Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer Standardvorrichtung verursacht wird, und zweiter Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen zu bestimmenden Prozess in einer Zielvorrichtung verursacht wird; Klassifizieren jedes durch die zweiten Ereignisinformationen angezeigten Ereignisses unter Verwendung der ersten Ereignisinformationen, entweder als ein Ereignis einer ersten Klasse, das ein Ereignis ist, das auch in der Standardvorrichtung auftritt, oder als ein Ereignis einer zweiten Klasse, das ein Ereignis ist, das in der Standardvorrichtung nicht auftritt; Durchführung des Lernens eines ersten Modells zur Bestimmung, ob ein Ereignis, das als die erste Klasse klassifiziert ist, ein Zielereignis für eine Warnung ist, unter Verwendung der zweiten Ereignisinformationen über ein Ereignis, das als die erste Klasse klassifiziert ist; und Durchführung des Lernens eines zweiten Modells zur Bestimmung, ob ein als zweite Klasse klassifiziertes Ereignis ein Zielereignis für eine Warnung ist, unter Verwendung der zweiten Ereignisinformation über ein als zweite Klasse klassifiziertes Ereignis.
DE112018007202.9T 2018-03-01 2018-03-01 Informationsverarbeitungsvorrichtung, steuerungsverfahren undprogramm Pending DE112018007202T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/007763 WO2019167225A1 (ja) 2018-03-01 2018-03-01 情報処理装置、制御方法、及びプログラム

Publications (1)

Publication Number Publication Date
DE112018007202T5 true DE112018007202T5 (de) 2021-02-25

Family

ID=67806017

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018007202.9T Pending DE112018007202T5 (de) 2018-03-01 2018-03-01 Informationsverarbeitungsvorrichtung, steuerungsverfahren undprogramm

Country Status (4)

Country Link
US (1) US11899793B2 (de)
JP (1) JP6892005B2 (de)
DE (1) DE112018007202T5 (de)
WO (1) WO2019167225A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6970344B2 (ja) * 2018-08-03 2021-11-24 日本電信電話株式会社 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4913353B2 (ja) 2005-03-25 2012-04-11 株式会社エヌ・ティ・ティ・ドコモ ソフトウェア動作モデル化装置及びソフトウェア動作監視装置
JP2008129714A (ja) 2006-11-17 2008-06-05 Univ Of Tsukuba 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法
JPWO2014020908A1 (ja) 2012-08-03 2016-07-21 日本電気株式会社 システム状態判別支援装置、及び、システム状態判別支援方法
JP2015108898A (ja) * 2013-12-03 2015-06-11 日本電信電話株式会社 異常検知システム及び異常検知方法
EP3244335B1 (de) 2015-02-20 2019-05-01 Nippon Telegraph and Telephone Corporation Vorrichtung zur erzeugung einer schwarzen liste, system zur erzeugung einer schwarzen liste, verfahren zur erzeugung einer schwarzen liste und programm zur erzeugung einer schwarzen liste
CN107203450B (zh) * 2016-03-16 2020-06-02 伊姆西Ip控股有限责任公司 故障的分类方法和设备
US10685112B2 (en) * 2016-05-05 2020-06-16 Cylance Inc. Machine learning model for malware dynamic analysis
GB2557253B (en) * 2016-12-02 2020-06-03 F Secure Corp Machine learning based malware detection system
US11138514B2 (en) * 2017-03-23 2021-10-05 Futurewei Technologies, Inc. Review machine learning system
EP4085362A1 (de) * 2019-12-31 2022-11-09 Motorola Solutions, Inc. Verfahren und vorrichtung zur erkennung von böswilligenmumtraining für ein anomaliedetektionssystem

Also Published As

Publication number Publication date
US11899793B2 (en) 2024-02-13
US20210042412A1 (en) 2021-02-11
JPWO2019167225A1 (ja) 2021-03-18
WO2019167225A1 (ja) 2019-09-06
JP6892005B2 (ja) 2021-06-18

Similar Documents

Publication Publication Date Title
DE112016005536T5 (de) Bestimmen von reihenfolgen einer ausführung eines neuronalen netzes
DE102019124615A1 (de) Beurteilen von algorithmen für autonome fahrzeuge
DE112011101559T5 (de) Dynamische adaptive Erkennung von Prozessen und deren Einhaltung
DE202017106532U1 (de) Suche nach einer neuronalen Architektur
DE112016005292T5 (de) Automatischer Abweichungsdetektionsdienst auf heterogenen Protokollströmen
DE102013207049A1 (de) Überwachen der Datenstrompufferung zur Optimierung der Operatorverarbeitung
DE112012005639T5 (de) Auslösen von Fensterbedingungen bei Anwendungen des Stream-Computing
DE202015009292U1 (de) Erzeugung eines Aktivitätsflusses
EP2930876A1 (de) Schlüsselerzeugungsvorrichtung und Verfahren zum Erzeugen eines Schlüssels
DE112013000713T5 (de) Verfolgen von Änderungen in Zusammenhang mit einer Sammlung von Dokumenten
DE112017003884T5 (de) Benutzerschnittstelle für Protokollabfragen
DE102012224492A1 (de) Auslösen von Fensterbedingungen unter Verwendung einer Ausnahmebehandlung
DE112015005985T5 (de) Klassifizierung und speicherung von dokumenten
DE112012004247T5 (de) Passives Überwachen virtueller Systeme unter Verwendung einer erweiterbaren Indexierung
DE102012218699A1 (de) Passives überwachen virtueller systeme mittels agentenlosem offline-indexieren
DE112018001290T5 (de) Verfahren zum Schätzen der Löschbarkeit von Datenobjekten
DE112016003235T5 (de) Ausgangseffizienzoptimierung in Produktionssystemen
DE112021001648T5 (de) Prioritätsbestimmungssystem, Prioritätsbestimmungsverfahren und Programm
DE202022102752U1 (de) Ein neuartiges System gestapelter paralleler Faltungsschichten mit einem Aufmerksamkeitsmodul zur Klassifizierung von Bildern diabetischer Fußgeschwüre und normaler Haut
DE112013005768T5 (de) Wiederherstellen einer vorhergehenden Version eines Virtual-Machine-Images
DE112016007411T5 (de) Fuzzy-eingabe für autoencoder
DE112015006287B4 (de) Informationsverarbeitungs-Vorrichtung
DE112018007202T5 (de) Informationsverarbeitungsvorrichtung, steuerungsverfahren undprogramm
DE112020004688T5 (de) Debuggen und erstellen von profilen von maschinenlernmodelltraining
WO2020126168A1 (de) Verfahren zur zusammenarbeit von mehreren geräten eines lokalen netzwerks

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication