JP2017097819A - アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 - Google Patents

アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 Download PDF

Info

Publication number
JP2017097819A
JP2017097819A JP2015241949A JP2015241949A JP2017097819A JP 2017097819 A JP2017097819 A JP 2017097819A JP 2015241949 A JP2015241949 A JP 2015241949A JP 2015241949 A JP2015241949 A JP 2015241949A JP 2017097819 A JP2017097819 A JP 2017097819A
Authority
JP
Japan
Prior art keywords
action
situation
user
learner
information security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015241949A
Other languages
English (en)
Other versions
JP6165224B2 (ja
Inventor
志宏 謝
Chih-Hung Hsieh
志宏 謝
家民 ▲ライ▼
家民 ▲ライ▼
Chia-Min Lai
敬豪 毛
Ching-Hao Mao
敬豪 毛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute for Information Industry
Original Assignee
Institute for Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute for Information Industry filed Critical Institute for Information Industry
Publication of JP2017097819A publication Critical patent/JP2017097819A/ja
Application granted granted Critical
Publication of JP6165224B2 publication Critical patent/JP6165224B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Abstract

【課題】アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムを提供する。【解決手段】検出モジュール11はユーザのアプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器13はこれらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成する。個人行為モデリング学習器15は、これらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成する。統合分析モジュール17は、これらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、これらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断する。【選択図】図1

Description

本発明は情報セキュリティー管理システム及びその方法に関し、特に、アプリケーション層ログ(Application Level Log)分析を基礎とする情報セキュリティー管理システム及びその方法に関する。
従来の情報セキュリティー管理技術は情報セキュリティーを確保する目的が達成されるように、ファイアウォールのブラックリストフィルターリングメカニズムを多用している。しかし、上記やり方は効果的に実行されるために、技術者により予め決定したフィルターリングリストに依らざるを得ないものである。そこで、上記やり方は一定の専門家法則に限られ、柔軟性及び多様化を実現しにくいという適用における欠点を有する。
また、近年、ネットワーク層ログ(例えば、ファイアウォールログまたはパケット量など)を利用してデータの分析と識別を行うことによって、情報セキュリティーに対する監視を達成することが提唱されている。しかし、現在の技術手段では、ネットワーク層分析を基礎とする情報セキュリティー管理システム及びその方法にも、相当多くの欠点及び解決すべき問題がある。例えば、ユーザの実際の行為及び意図を究めにくく、シーンドメインまたは状況の違いに応じて、柔軟に適当な調整を行うことができない。
そこで、上記したことは、盛んになっている持続的標的型攻撃(Advanced persistent threat、APT)に対して、ネットワーク層ログ分析を基礎とする情報セキュリティー管理システム及びその方法が情報セキュリティーの確保に十分に適用されるものでないことを意味する。
本発明の実施例はアプリケーション層ログ分析を基礎とする情報セキュリティー管理システムを提供する。
本発明の実施例は検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む、アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムを提供する。検出モジュールはユーザのアプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器はこれらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成するためのものである。個人行為モデリング学習器は、これらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成するためのものである。統合分析モジュールは、これらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、統合分析モジュールによりこれらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するためのものである。イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つとを含む。
また、本発明の実施例は検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む情報セキュリティー管理システムに適用されるアプリケーション層ログ分析を基礎とする情報セキュリティー管理方法を提供する。前記情報セキュリティー管理方法は以下のステップを含む。検出モジュールによりユーザのアプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器によりこれらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成する。個人行為モデリング学習器によりこれらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成する。統合分析モジュールによりこれらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、統合分析モジュールによりこれらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断する。イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つとを含む。
本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法は主にユーザのアプリケーション層ログを採用して分析し、ユーザの連続行為に対してモデリングするとともに、異なる状況でのモデル選択を考慮することによって、ユーザによる異常行為が生じたかどうかを効果的に判断する。それに、本発明の実施例はユーザの連続行為に対してモデリングと判断を行うので、連続行為の間の差異を分析することによって、ユーザの意図を効果的に見つけ出すことができ、さらに異常行為を判断する時の正確性を向上させることができる。
本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システムの機能ブロック図である。 本発明の実施例が提供するこれらのイベント組み合わせのうちの一つの模式図である。 本発明の実施例が提供するユーザにより実行されている連続行為の模式図である。 本発明の実施例が提供する情報セキュリティー管理システムにおける状況感知学習器と個人行為モデリング学習器が相互に作動する模式図である。 本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理方法のフローチャートである。 本発明の実施例が提供する情報セキュリティー管理方法において、統合分析モジュールによりこの連続行為に異常行為があるかどうかを判断するフローチャートである。
以下に、図面により本発明の各種の実施例を説明して本発明を詳述する。しかし、本発明の概念は多くの異なる形式で表現される可能性があり、本文に述べられる例示的な実施例に限られると解釈すべきものではない。なお、図面において、同じ参考数字は類似素子の表示に用いられてもよい。
図1を参照する。図1は本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システムの機能ブロック図である。情報セキュリティー管理システム1は検出モジュール11と、状況感知学習器13と、個人行為モデリング学習器15と、統合分析モジュール17とを含む。ただし、上記した各素子は単なるハードウェア電子回路により実現されてもよく、ハードウェア電子回路にファームウェアまたはソフトウェアを組み合わせるによって実現されてもよい。要するに、本発明はその具体的な実現方式を制限するものではない。また、上記した各素子は一体または分散に設けられてもよく、本発明もこれに制限されるものではない。図1の情報セキュリティー管理システム1も前記情報セキュリティー管理方法における一つの実現方式に過ぎず、本発明を制限するためのものではない。
更には、検出モジュール11はユーザのアプリケーション層ログ(図示せず)に基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器13は、これらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成するためのものである。個人行為モデリング学習器15は、これらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成するためのものである。統合分析モジュール17は、これらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、これらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するためのものである。
詳しくは、情報セキュリティー管理システム1は検出モジュール11が作動する前、あるログ記録器(図示せず)を介してこのユーザに関連するアプリケーション層ログを予め取得してもよい。次に、検出モジュール11により、このアプリケーション層ログにおけるすべての記載内容が分析されることによって、複数の状況特徴値及び複数の行為序列データがキャプチャーされる。本発明はアプリケーション層ログが取得される詳細な実現方式を制限するものではなく、当業者により実際の要求または適用に従って設計可能なものである。また、アプリケーション層ログの技術特徴は当業者に一般に知られているので、ここで、アプリケーション層ログの分析に関する詳細内容を省略する。
例えば、アプリケーション層ログに記録されている複数の状態コードにより、このユーザがある組の連続行為を実行したことが分析される場合(例えば、まず、Outlookを利用してメールを受信し、次に、Outlookを利用して大量のメールを送信し、最後に、Facebookにアクセスする。)、検出モジュール11はこの組の連続行為をこれらの行為序列データの一つとして更にキャプチャーすることができる。上記説明に基づき、当業者は前記状況特徴値がこのユーザによりある組の連続行為が実行される場合の時間、時点またはいかなる状況感知(Context awareness)インフォメイションを意味することが理解できるべきである。本発明は状況特徴値及び行為序列データがキャプチャーされる詳細な実現方式、または状況特徴値及び行為序列データの具体的な表現形式を制限するものでもなく、当業者により実際の要求または適用に従って設計可能なものである。
これに対して、以上の内容における教示に従い、知られている既存のインフォメイションを通して、当業者はより上位のアプリケーション層ログにより分析することによって、支持する所定のネットワークハードウェア機器への接続に依る必要がないだけでなく、可読性が高いというメリットもあるので、本発明がネットワーク層ログ分析を基礎とする従来技術に比べ、既存の電子機器に容易に適応できるとともに、情報セキュリティーを確保する管理の強化に寄与することが理解できるべきである。なお、アプリケーション層のサービスは「ユーザの意図」を高度に具体化した表現であるので、アプリケーション層ログに基づいて分析する時、その記載内容の真実性を別に考慮する必要がなくなる。
更には、仮にあるアプリケーション層ログにあるオフィス環境でのデスクトップパソコンにおける一定のユーザの毎日行為が記録されている場合、情報セキュリティー管理システム1は、まず、検出モジュール11にこのアプリケーション層ログに基づいて分析させることによって、複数の状況特徴値及び複数の行為序列データをキャプチャーする。これらの状況特徴値及びこれらの行為序列データは状況感知学習器13と個人行為モデリング学習器15が個別に処理を行う時の入力データとされる。
これに対して、再び上記説明を例とすると、状況感知学習器13から生成したこれらの状況識別インデックスは「月曜日の勤務時間」、「月曜日の退勤時間」、「火曜日の勤務時間」、「火曜日の退勤時間」、「水曜日の勤務時間」等である可能性がある。これによって類推すると、個人行為モデリング学習器15から生成したこれらの行為評価モデルは何れかの一組の連続行為のマルコフモデル(Markov Model)である可能性がある。ただし、マルコフモデルは当業者に一般に知られているものなので、ここで、マルコフモデルに関する詳細内容を省略する。
また、図2を参照する。図2は本発明の実施例が提供するこれらのイベント組み合わせのうちの一つの模式図である。ただし、図2におけるイベント組み合わせもこのユーザが水曜日の勤務時間(すなわち、状況識別インデックス)に実行可能な一組の連続行為のマルコフモデルを示すためのものである。以上の内容における教示に従って、当業者はイベント組み合わせのそれぞれがその状況識別インデックスにより、これらの行為評価モデルのうちの一つに対応にインデックスされるものであることが理解できる。ここで、上記状況識別インデックス及び行為評価モデルの具体的な表現方式は例として挙げられたものに過ぎず、本発明を制限するものではない。
ちなみに、上記例は一定の環境にあるものなので、異なるタイムドメインにおける状況(例えば、「月曜日の勤務時間」、「月曜日の退勤時間」等)だけを考慮して対応する行為評価モデルを選択する。そこで、上記例において、イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの一つと、これらの行為評価モデルのうちの一つだけを含む。図2に示すように、本発明はこれに制限されるものではない。例えば、本発明が一定でない環境で実施される場合、本発明の実施例は異なるシーンドメイン(例えば、「場所A」、「場所B」等)及び異なるタイムドメインにある多重状況を同時に考慮して、対応する行為評価モデルを選択可能である。言い換えれば、イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つとを含む可能性がある。
簡単に言えば、以上の内容における教示に従って、当業者は本発明の実施例が、状況感知学習器13及び個人行為モデリング学習器15から個別に出力した結果(すなわち、状況識別インデックス及行為評価モデル)を統合することによって、統合分析モジュール17にこのユーザがそれぞれの所定状況で(すなわち、それぞれの状況識別インデックス)実行可能な一組の連続行為のマルコフモデル(すなわち、行為評価モデル)をまとめさせることを主な精神の一つとすることが理解できるべきである。
次に、統合分析モジュール17は更にこれらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、実行されているこの組の連続行為に異常行為が生じたかどうかを判断するためのものである。例えば、図3を参照する。図3は本発明の実施例が提供するユーザにより実行されている連続行為の模式図である。ただし、図3におけるこの組の連続行為が同様に「水曜日の勤務時間」に生成されたものと仮定する。言い換えれば、図2におけるイベントモデルは過去の履歴時間以来、このユーザが各水曜日の勤務時間に実行可能な一組の連続行為のマルコフモデルを意味するが、図3におけるこの組の連続行為はこのユーザが目前の水曜日の勤務時間にリアルタイムに実行する一組の連続行為を意味する。
図3におけるこの組の連続行為に対応する状況感知インフォメイション(すなわち、水曜日の勤務時間)と図2におけるイベント組み合わせの一つの状況識別インデックスとが合致したので、統合分析モジュール17は予想行為モデルとして図2における行為評価モデルを選択することができ、これによって、図3におけるこの組の連続行為に異常行為が生じたかどうかを更に決定するように、図3におけるこの組の連続行為がこの予想行為モデルに合致したかどうかを判断することができる。
具体的には、統合分析モジュール17は図2における行為評価モデル(すなわち、図2におけるマルコフモデル)により、このユーザが過去の各水曜日の勤務時間に、このデスクトップパソコンで実行した連続行為が何か(例えば、行為A、行為B、行為C及び行為D)を明確に分かるようになる。しかし、このユーザが実行しているこの組の連続行為に(すなわち、図3)行為E及び行為Fの実行が増えたとともに、実行されているこの組の連続行為の手順も図2におけるマルコフモデルの確率分布に合致していない。そこで、統合分析モジュール17は上記した著しい差異により、実行されているこの組の連続行為に異常行為が生じた可能性があると更に判断することができる。
より広義に長い目で見ると、この異常行為が生じた原因はこの組の連続行為を実行している人がこのユーザ本人でないことにある可能性があり、つまり、この組の連続行為が悪意を持ったあるハッカーに侵入された時の操作行為である可能性があるので、本発明の実施例の情報セキュリティー管理システム1はこの組の連続行為によりこのハッカーの使用意図を見つけ出して、さらに目前の脅威レベルを評価し、適当な保護対策を採用することもできる。上記したことは本発明の実施形態により続いて実行可能な対策の例の一つに過ぎず、本発明を制限するものではない。
まとめて言えば、本発明の実施例はアプリケーション層ログによりユーザの連続行為をモデリングするとともに、異なる状況(例えば、シーンドメイン、タイムドメイン等)に対するモデルの選択を考慮することによって、識別の正確性及び適用の柔軟性を向上させることを精神とする。また、従来技術に多用されていた単一行為による判断と異なって、本発明の実施例では、ユーザの連続行為に対してモデリングと判断を行うので、連続行為の間の差異を分析することによって、ユーザの意図を効果的に見つけ出すことができ、さらに異常行為を判断する時の正確性を向上させることができる。
一方、アプリケーション層ログに基づいて検出モジュール11によりキャプチャーされた状況特徴値及び行為序列データが複雑で多すぎる可能性があるので、状況感知学習器13及び個人行為モデリング学習器15の処理に時間がかかる。これに鑑みて、実際に、本発明の実施例における状況感知学習器13は個人行為モデリング学習器15から生成するこれらの行為評価モデルに同時に基づいて状況特徴値を分析することによって、ユーザに関連するこれらの状況識別インデックスを生成することができる。同様に、本発明の実施例における個人行為モデリング学習器15も状況感知学習器13から生成するこれらの状況識別インデックスに同時に基づいて行為序列データをモデリングすることによって、ユーザに関連するこれらの行為評価モデルを生成することができる。
具体的には、図4を参照する。図4は本発明の実施例が提供する情報セキュリティー管理システムにおける状況感知学習器と個人行為モデリング学習器とが相互に作動する模式図である。このことから分かるように、状況感知学習器13と個人行為モデリング学習器15との間にお互いに影響し合う強化学習メカニズムが存在する可能性がある。しかし、上記した強化学習メカニズムによれば、状況感知学習器13と個人行為モデリング学習器15との間に出力される結果の正確性の向上に寄与する。
例えば、再び上記説明を例とすると、状況感知学習器13により「月曜日の勤務時間」、「月曜日の退勤時間」、「火曜日の勤務時間」及び「火曜日の退勤時間」の4つの状況識別インデックスの生成が確定されておいた場合、状況感知学習器13はこの4つの状況識別インデックスを一緒に個人行為モデリング学習器15に入力して、個人行為モデリング学習器15にこの4つの状況識別インデックスに基づいてこれらの行為序列データに対して関連モデリングを行わせることによって、効果的に個人行為モデリング学習器15と協力して、複雑で多くの複数の行為序列データから、この4つの状況識別インデックスに対応する各行為評価モデルを優先に素早く作成することができる。要するに、本発明の実施例は状況感知学習器13と個人行為モデリング学習器15との間の強化学習メカニズムの具体的な実現方式を制限するものではなく、当業者により実際の要求または適用に従って設計可能なものである。
なお、情報セキュリティー管理システムに関する作動フローを更に説明するために、本発明はその情報セキュリティー管理方法の一つの実施形態を更に提供する。図5を参照する。図5は本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理方法のフローチャートである。本例に記載される方法は図1に示す情報セキュリティー管理システム1に実行可能であるので、図1を一緒に参照して理解する。また、詳細のフローは前述した実施例に記載されているので、ここで省略する。
まず、ステップS501において、検出モジュール11によりユーザのアプリケーション層ログ(図示せず)に基づいて複数の状況特徴値及び複数の行為序列データをキャプチャーする。次に、ステップS503において、状況感知学習器13によりこれらの状況特徴値を分析して、このユーザに関連する複数の状況識別インデックスを生成する。ステップS505において、個人行為モデリング学習器15によりこれらの行為序列データをモデリングして、このユーザに関連する複数の行為評価モデルを生成する。次に、ステップS507において、統合分析モジュール17によりこれらの状況識別インデックス及びこれらの行為評価モデルを統合して、このユーザに関連する複数のイベント組み合わせを生成する。最後に、ステップS509において、統合分析モジュール17によりこれらのイベント組み合わせに基づいてこのユーザが実行している一組の連続行為を比較することによって、実行されているこの組の連続行為に異常行為が生じたかどうかを判断する。イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つを含む。
上記したように、状況感知学習器13と個人行為モデリング学習器15との間にお互いに影響し合う強化学習メカニズムが存在する可能性がある。そこで、以上の内容における教示に従って、当業者はステップS503及びステップS505がお互いに干渉することなく並行に実行されるものであるはずと理解できるべきである。言い換えれば、状況感知学習器13は個人行為モデリング学習器15から生成するこれらの行為評価モデルに同時に基づいて状況特徴値を分析することによって、ユーザに関連するこれらの状況識別インデックスを生成することができる。個人行為モデリング学習器15も状況感知学習器13から生成するこれらの状況識別インデックスに同時に基づいて行為序列データをモデリングすることによって、ユーザに関連するこれらの行為評価モデルを生成することができる。
一方、上記説明に基づいて、本発明はその統合分析モジュール17によりこの連続行為に異常行為が生じたかどうかを判断する(すなわち、ステップS509)一つの実施形態を更に提供する。図6を参照する。図6は本発明の実施例が提供する情報セキュリティー管理方法において、統合分析モジュールによりこの連続行為に異常行為があるかどうかを判断するフローチャートである。ただし、図5と同じ図6における一部のフローに同一符号を付しているので、ここで、その詳細について省略する。
図5と図6を同時に参照する。ステップS509にステップS601〜ステップS607を更に含む。まず、ステップS601において、これらのイベント組み合わせの一つの状況識別インデックスがこの組の連続行為に対応する状況感知インフォメイションに合致した場合、統合分析モジュール17は予想行為モデルとしてこの状況識別インデックスに対応する行為評価モデルを選択することができる。次に、ステップS603において、この組の連続行為がこの予想行為モデルに合致したかどうかを比較する。最後に、ステップS605において、この組の連続行為がこの予想行為モデルに合致していない場合、この組の連続行為に異常行為が生じたと判断することができる。逆にステップS607において、この組の連続行為がこの予想行為モデルに合致した場合、この組の連続行為に異常行為が生じていないと判断することができる。
上記してきたように、本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法は主にユーザのアプリケーション層ログを採用して分析し、ユーザの連続行為に対してモデリングするとともに、異なる状況でのモデル選択を考慮することによって、ユーザによる異常行為が生じたかどうかを効果的に判断する。それに、本発明の実施例はユーザの連続行為に対してモデリングと判断を行うので、連続行為の間の差異を分析することによって、ユーザの意図を効果的に見つけ出すことができ、さらに異常行為を判断する時の正確性を向上させることができる。
以上のことは本発明の実施例に過ぎず、本発明の特許請求範囲を限定するものではない。
1 情報セキュリティー管理システム
11 検出モジュール
13 状況感知学習器
15 個人行為モデリング学習器
17 統合分析モジュール

Claims (10)

  1. アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムであって、
    ユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする検出モジュールと、
    前記状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するための状況感知学習器と、
    前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評估モデルを生成するための個人行為モデリング学習器と、
    前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するための統合分析モジュールと、
    を含み、
    前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理システム。
  2. 前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
  3. 前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
  4. 前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項1に記載の情報セキュリティー管理システム。
  5. 前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項4に記載の情報セキュリティー管理システム。
  6. 検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む情報セキュリティー管理システムに適用されると共に、アプリケーション層ログ分析を基礎とする情報セキュリティー管理方法であって、
    前記検出モジュールによりユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーするステップと、
    前記状況感知学習器により前記複数の状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するステップと、
    前記個人行為モデリング学習器により前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するステップと、
    前記統合分析モジュールにより前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記統合分析モジュールにより前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するステップとを含み、
    前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理方法。
  7. 前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
  8. 前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
  9. 前記統合分析モジュールは、
    前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断するというステップを実行して、前記連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項6に記載の情報セキュリティー管理方法。
  10. 前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項9に記載の情報セキュリティー管理方法。
JP2015241949A 2015-11-20 2015-12-11 アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 Active JP6165224B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW104138484A TWI615730B (zh) 2015-11-20 2015-11-20 以應用層日誌分析為基礎的資安管理系統及其方法
TW104138484 2015-11-20

Publications (2)

Publication Number Publication Date
JP2017097819A true JP2017097819A (ja) 2017-06-01
JP6165224B2 JP6165224B2 (ja) 2017-07-19

Family

ID=58721339

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015241949A Active JP6165224B2 (ja) 2015-11-20 2015-12-11 アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法

Country Status (3)

Country Link
US (1) US20170149800A1 (ja)
JP (1) JP6165224B2 (ja)
TW (1) TWI615730B (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210075812A1 (en) * 2018-05-08 2021-03-11 Abc Software, Sia A system and a method for sequential anomaly revealing in a computer network
TWI667587B (zh) * 2018-05-15 2019-08-01 玉山商業銀行股份有限公司 資訊安全防護方法
TWI727213B (zh) 2018-10-08 2021-05-11 安碁資訊股份有限公司 偵測作業系統的異常操作的異常偵測的方法及裝置
CN110324316B (zh) * 2019-05-31 2022-04-22 河南九域恩湃电力技术有限公司 一种基于多种机器学习算法的工控异常行为检测方法
CN110460459B (zh) * 2019-07-03 2020-09-04 中国南方电网有限责任公司 电力监控系统网络安全态势感知方法
CN110677430B (zh) * 2019-10-14 2020-09-08 西安交通大学 基于网络安全设备日志数据的用户风险度评估方法和系统
CN110795705B (zh) * 2019-10-22 2022-07-15 武汉极意网络科技有限公司 轨迹数据处理方法、装置、设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003280945A (ja) * 2002-03-19 2003-10-03 Hitachi Information Systems Ltd ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム
JP2005332345A (ja) * 2004-05-21 2005-12-02 Lightwell Co Ltd 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム
JP2010108469A (ja) * 2008-10-01 2010-05-13 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP2011034208A (ja) * 2009-07-30 2011-02-17 Hitachi Ltd 異常検出方法、装置、及びプログラム
JP2011258057A (ja) * 2010-06-10 2011-12-22 Fujitsu Ltd 解析プログラム、解析方法、および解析装置
WO2012001795A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
US20140016207A1 (en) * 2011-01-17 2014-01-16 Snu R&Db Foundation Optical film with partially coated structure array and manufacturing method thereof

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162741B2 (en) * 2001-07-30 2007-01-09 The Trustees Of Columbia University In The City Of New York System and methods for intrusion detection with dynamic window sizes
JP4484643B2 (ja) * 2004-09-10 2010-06-16 独立行政法人科学技術振興機構 時系列データ異常判定用プログラム及び時系列データ異常判別方法
CN101355504B (zh) * 2008-08-14 2012-08-08 成都市华为赛门铁克科技有限公司 一种用户行为的确定方法和装置
US8572736B2 (en) * 2008-11-12 2013-10-29 YeeJang James Lin System and method for detecting behavior anomaly in information access
US8769684B2 (en) * 2008-12-02 2014-07-01 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US9646155B2 (en) * 2011-09-09 2017-05-09 Hewlett Packard Enterprise Development Lp Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events
CN102413013B (zh) * 2011-11-21 2013-11-06 北京神州绿盟信息安全科技股份有限公司 网络异常行为检测方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003280945A (ja) * 2002-03-19 2003-10-03 Hitachi Information Systems Ltd ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム
JP2005332345A (ja) * 2004-05-21 2005-12-02 Lightwell Co Ltd 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム
JP2010108469A (ja) * 2008-10-01 2010-05-13 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP2011034208A (ja) * 2009-07-30 2011-02-17 Hitachi Ltd 異常検出方法、装置、及びプログラム
JP2011258057A (ja) * 2010-06-10 2011-12-22 Fujitsu Ltd 解析プログラム、解析方法、および解析装置
WO2012001795A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
US20140016207A1 (en) * 2011-01-17 2014-01-16 Snu R&Db Foundation Optical film with partially coated structure array and manufacturing method thereof

Also Published As

Publication number Publication date
US20170149800A1 (en) 2017-05-25
TWI615730B (zh) 2018-02-21
JP6165224B2 (ja) 2017-07-19
TW201719484A (zh) 2017-06-01

Similar Documents

Publication Publication Date Title
JP6165224B2 (ja) アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
US11647039B2 (en) User and entity behavioral analysis with network topology enhancement
US11848966B2 (en) Parametric analysis of integrated operational technology systems and information technology systems
US20180295154A1 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
RU2017118317A (ru) Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US20190028557A1 (en) Predictive human behavioral analysis of psychometric features on a computer network
US9369364B2 (en) System for analysing network traffic and a method thereof
US20140082730A1 (en) System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US20190065738A1 (en) Detecting anomalous entities
US20220263860A1 (en) Advanced cybersecurity threat hunting using behavioral and deep analytics
US10868823B2 (en) Systems and methods for discriminating between human and non-human interactions with computing devices on a computer network
US9325715B1 (en) System and method for controlling access to personal user data
CN107426022A (zh) 安全事件监测方法及装置、电子设备、存储介质
CN108696486A (zh) 一种异常操作行为检测处理方法及装置
US11297082B2 (en) Protocol-independent anomaly detection
CN107465652B (zh) 一种操作行为检测方法、服务器及系统
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
KR101462608B1 (ko) 적응형 빅데이타 처리 기반 이상 징후 탐지 시스템
WO2020161808A1 (ja) 優先度判定装置、優先度判定方法、及びコンピュータ可読媒体
JP2018142197A (ja) 情報処理装置、方法およびプログラム
US11181290B2 (en) Alarm processing devices, methods, and systems
KR102275635B1 (ko) 함수 호출 패턴 분석을 통한 이상 검출 장치 및 방법
CN113962671A (zh) 一种工程造价审计方法及系统
JP2011244098A (ja) トラフィック分析システム及びトラフィック分析方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170620

R150 Certificate of patent or registration of utility model

Ref document number: 6165224

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250