JP2019053421A - Information processing device and program - Google Patents

Information processing device and program Download PDF

Info

Publication number
JP2019053421A
JP2019053421A JP2017175974A JP2017175974A JP2019053421A JP 2019053421 A JP2019053421 A JP 2019053421A JP 2017175974 A JP2017175974 A JP 2017175974A JP 2017175974 A JP2017175974 A JP 2017175974A JP 2019053421 A JP2019053421 A JP 2019053421A
Authority
JP
Japan
Prior art keywords
engine
feature
information
data
learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017175974A
Other languages
Japanese (ja)
Other versions
JP6992341B2 (en
Inventor
泰之 古川
Yasuyuki Furukawa
泰之 古川
香介 田中
Kosuke Tanaka
香介 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2017175974A priority Critical patent/JP6992341B2/en
Publication of JP2019053421A publication Critical patent/JP2019053421A/en
Application granted granted Critical
Publication of JP6992341B2 publication Critical patent/JP6992341B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide an information processing device and a program that can select an engine to be operated according to capability of detecting an improper program.SOLUTION: A user terminal device 1 includes: a storage unit for storing engine feature data 115A associating communication feature data 102a indicating a feature of communication data 2a transmitted from a server device 2 with capability information indicating capability of detecting an improper program for each engine; extraction means 102 for extracting the communication feature data 102a from the communication data 2a transmitted from the server device 2; and selection means 104 for selecting an engine to be operated on the basis of the extracted communication feature data 102a and the engine feature data 115A stored in the storage unit.SELECTED DRAWING: Figure 3

Description

本発明は、情報処理装置及びプログラムに関する。   The present invention relates to an information processing apparatus and a program.

近年、コンピュータウイルス等の不適切なプログラムを検知するエンジンを備えたセキュリティを強化する方法が提供されている(例えば、特許文献1参照)。   In recent years, a method for enhancing security provided with an engine for detecting an inappropriate program such as a computer virus has been provided (for example, see Patent Document 1).

特許文献1に記載された適応型セキュリティを実現する方法は、単一のエンジン(ノード)に関するデータストリームを監視して、エンジンの特徴及びネットワーク環境を学習するステップと、学習したエンジンの特徴及びネットワーク環境に基づいて適応型閾値を決定するステップと、を備えている。この情報処理装置によれば、エンジンの特徴やネットワーク環境に応じてエンジンの閾値を変化させることで、エンジンの動作状態を制御することができるとされている。   A method for realizing adaptive security described in Patent Literature 1 includes a step of monitoring a data stream related to a single engine (node) to learn engine characteristics and network environment, and learned engine characteristics and network. Determining an adaptive threshold based on the environment. According to this information processing apparatus, it is said that the engine operating state can be controlled by changing the engine threshold in accordance with the engine characteristics and the network environment.

特許文献2に記載されたセキュア電子通信配信方法は、1つ以上のエンジンを備え、このエンジンに対すて複数のテストを課し、このテスト結果を蓄積した累積データに基づいて、電子通信に関する異常が存在するか否かを判定する。この情報処理装置によれば、複数のテスト実施に基づいてホワイトリストの作成できるので、不適切なプログラムに対する誤検知を減ずることができるとされている。   The secure electronic communication distribution method described in Patent Literature 2 includes one or more engines, and a plurality of tests are imposed on the engines, and abnormalities related to electronic communication are based on accumulated data obtained by accumulating the test results. It is determined whether or not exists. According to this information processing apparatus, since a white list can be created based on a plurality of test executions, it is said that false detection of an inappropriate program can be reduced.

特表2009−504104号公報Special table 2009-504104 特表2005−520230号公報JP 2005-520230 Gazette

本発明の課題は、複数のエンジンにおける不適切なプログラムを検知する能力に応じて、動作させるエンジンを選定することができる情報処理装置及びプログラムを提供することにある。   The subject of this invention is providing the information processing apparatus and program which can select the engine to operate | move according to the capability to detect the inadequate program in a some engine.

[1]不適切なプログラムを検知する複数のエンジンを備えた情報処理装置であって、外部装置から送信された通信データの特徴を示す第1の特徴情報と、エンジンごとの不適切なプログラムを検知する能力を示す能力情報とを対応付けた第2の特徴情報を記憶する記憶手段と、前記外部装置から送信される前記通信データから前記第1の特徴情報を抽出する抽出手段と、抽出された前記第1の特徴情報と前記記憶手段に記憶された前記第2の特徴情報とに基づいて前記複数のエンジンの中から動作させるエンジンを選定する選定手段と、を備えた情報処理装置。
[2]前記選定手段は、前記抽出された前記第1の特徴情報と、前記記憶手段に記憶された前記第2の特徴情報に含まれる第1の特徴情報とが一致した場合に、前記第2の特徴情報の前記能力情報に基づいて前記動作させるエンジンを選定する、前記[1]に記載の情報処理装置。
[3]前記選定手段は、前記能力情報が予め定められた条件を満たした場合に、前記条件を満たした前記能力情報に対応したエンジンを動作させるエンジンとして選定する、前記[2]に記載の情報処理装置。
[4]前記能力情報は、前記エンジンが前記不適切なプログラムを検知した回数である、前記[3]に記載の情報処理装置。
[5]前記複数のエンジンの特徴を学習する学習手段をさらに備え、前記学習手段は、前記第2の特徴情報を学習結果として前記記憶手段が記憶する前記第2の特徴情報を更新する、前記[1]から[4]の何れか1つに記載の情報処理装置。
[6]前記学習手段は、前記不適切なプログラムを前記複数のエンジンのそれぞれに検査させ、エンジンごとの前記検査の結果を集計した集計データを前記能力情報として生成し、前記記憶手段が記憶する前記能力情報を更新する、前記[5]に記載の情報処理装置。
[7]前記不適切なプログラムは、前記選定手段によって選定されたエンジンが検知した不適切なプログラムである、前記[6]に記載の情報処理装置。
[8]前記第2の特徴情報は、前記複数のエンジンの特徴を学習する学習装置から送信された学習結果である、前記[1]から[4]の何れか1つに記載の情報処理装置。
[9]外部装置から送信された通信データの特徴を示す第1の特徴情報と、不適切なプログラムを検知する複数のエンジンが前記不適切なプログラムを検知する能力を示す能力情報とを対応付けた第2の特徴情報を記憶する記憶手段を有するコンピュータを、外部装置から送信された通信データの特徴を示す第1の特徴情報と、不適切なプログラムを検知する複数のエンジンが前記不適切なプログラムを検知する能力を示す能力情報とを対応付けた第2の特徴情報を記憶する記憶手段と、前記外部装置から送信される前記通信データから前記第1の特徴情報を抽出する抽出手段と、抽出された前記第1の特徴情報と前記記憶手段に記憶された前記第2の特徴情報とに基づいて前記複数のエンジンの中から動作させるエンジンを選定する選定手段、として機能させるためのプログラム。 [1] An information processing apparatus having a plurality of engines for detecting an inappropriate program, wherein first feature information indicating characteristics of communication data transmitted from an external device and an inappropriate program for each engine A storage unit that stores second feature information that associates capability information indicating the capability to be detected; an extraction unit that extracts the first feature information from the communication data transmitted from the external device; An information processing apparatus comprising: selecting means for selecting an engine to be operated from the plurality of engines based on the first feature information and the second feature information stored in the storage means.
[2] When the extracted first feature information matches the first feature information included in the second feature information stored in the storage unit, the selection unit matches the first feature information. The information processing apparatus according to [1], wherein the engine to be operated is selected based on the capability information of the second feature information.
[3] The selection unit according to [2], wherein the selection unit selects an engine that operates an engine corresponding to the capability information that satisfies the condition when the capability information satisfies a predetermined condition. Information processing device.
[4] The information processing apparatus according to [3], wherein the capability information is the number of times the engine has detected the inappropriate program.
[5] The apparatus further comprises learning means for learning features of the plurality of engines, and the learning means updates the second feature information stored in the storage means as the learning result of the second feature information. The information processing apparatus according to any one of [1] to [4].
[6] The learning unit causes each of the plurality of engines to inspect the inappropriate program, generates aggregated data obtained by aggregating the inspection results for each engine as the capability information, and the storage unit stores the data. The information processing apparatus according to [5], wherein the capability information is updated.
[7] The information processing apparatus according to [6], wherein the inappropriate program is an inappropriate program detected by an engine selected by the selection unit.
[8] The information processing device according to any one of [1] to [4], wherein the second feature information is a learning result transmitted from a learning device that learns features of the plurality of engines. .
[9] First feature information indicating characteristics of communication data transmitted from an external device is associated with capability information indicating the ability of a plurality of engines detecting an inappropriate program to detect the inappropriate program In addition, the computer having the storage means for storing the second feature information includes the first feature information indicating the feature of the communication data transmitted from the external device and a plurality of engines for detecting an inappropriate program. Storage means for storing second feature information in association with ability information indicating the ability to detect a program; extraction means for extracting the first feature information from the communication data transmitted from the external device; Selection means for selecting an engine to be operated from among the plurality of engines based on the extracted first feature information and the second feature information stored in the storage means , The program to function as.

請求項1、9に係る発明によれば、複数のエンジンにおける不適切なプログラムを検知する能力に応じて、動作させるエンジンを選定することができるすることができる。
請求項2に係る発明によれば、通信データの特徴に適した特徴を備えるエンジンを動作するエンジンとして選定することができる。
請求項3に係る発明によれば、複数のエンジンにおけるそれぞれの能力の内容に基づいたエンジンの選定をすることができる。
請求項4に係る発明によれば、複数のエンジンのそれぞれの能力に対する定量的な評価に基づいて、動作するエンジンを選定することができる。
請求項5に係る発明によれば、複数のエンジンに対して実行した学習結果に応じて動作するエンジンを選定することができる。
請求項6に係る発明によれば、複数のエンジンの検査結果を集計した集計データに基づいて能力情報を生成するので、学習結果の精度を向上させることができる。
請求項7に係る発明によれば、選定手段によって選定されたエンジンの動作による出力情報を学習手段の入力情報に利用することができる。
請求項8に係る発明によれば、学習機能を外部装置に構築することができるので、情報処理に対する負荷を減ずることができる。 According to the first and ninth aspects of the invention, the engine to be operated can be selected according to the ability to detect inappropriate programs in a plurality of engines.
According to the invention which concerns on Claim 2, the engine provided with the characteristic suitable for the characteristic of communication data can be selected as an engine which operates.
According to the invention which concerns on Claim 3, the selection of the engine based on the content of each capability in a some engine can be performed.
According to the invention which concerns on Claim 4, the engine which operate | moves can be selected based on the quantitative evaluation with respect to each capability of a some engine.
According to the invention which concerns on Claim 5, the engine which operate | moves according to the learning result performed with respect to the several engine can be selected.
According to the sixth aspect of the present invention, the ability information is generated based on the aggregate data obtained by aggregating the inspection results of a plurality of engines, so that the accuracy of the learning result can be improved.
According to the invention which concerns on Claim 7, the output information by the operation | movement of the engine selected by the selection means can be utilized for the input information of a learning means.
According to the eighth aspect of the present invention, since the learning function can be built in the external device, the load on information processing can be reduced.

図1は、本発明の第1の実施の形態に係る情報処理システムの概略の構成例を示す図である。FIG. 1 is a diagram showing a schematic configuration example of an information processing system according to the first embodiment of the present invention. 図2は、ユーザ端末装置の構成例を示すブロック図である。FIG. 2 is a block diagram illustrating a configuration example of the user terminal device. 図3は、第1の実施の形態に係る情報処理システムにおける処理の流れを示すフロー図である。FIG. 3 is a flowchart showing the flow of processing in the information processing system according to the first embodiment. 図4は、エンジン特徴テーブルの一例を示す図である。FIG. 4 is a diagram illustrating an example of an engine feature table. 図5は、ユーザ端末装置の学習手段における処理の一例を示すフローチャートである。FIG. 5 is a flowchart illustrating an example of processing in the learning unit of the user terminal device. 図6は、ユーザ端末装置の選定手段における処理の一例を示すフローチャートである。FIG. 6 is a flowchart illustrating an example of processing in the selection unit of the user terminal device. 図7は、本発明の第2の実施の形態に係る情報処理システムの概略の構成を示す図である。FIG. 7 is a diagram showing a schematic configuration of an information processing system according to the second embodiment of the present invention. 図8は、第2の実施の形態に係る情報処理システムにおける処理の流れを示すフロー図である。FIG. 8 is a flowchart showing the flow of processing in the information processing system according to the second embodiment.

以下、本発明の実施の形態について図面を参照して説明する。なお、各図中、実質的に同一の機能を有する構成要素については、同一の符号を付してその重複した説明を省略する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In addition, in each figure, about the component which has the substantially same function, the same code | symbol is attached | subjected and the duplicate description is abbreviate | omitted.

[実施の形態の要約]
本実施の形態に係る情報処理装置は、不適切なプログラムを検知する複数のエンジンを備えた情報処理装置であって、外部装置から送信された通信データの特徴を示す第1の特徴情報と、エンジンごとの不適切なプログラムを検知する能力を示す能力情報とを対応付けた第2の特徴情報を記憶する記憶手段と、前記外部装置から送信される前記通信データから前記第1の特徴情報を抽出する抽出手段と、抽出された前記第1の特徴情報と記憶された前記第2の特徴情報とに基づいて前記複数のエンジンの中から動作させるエンジンを選定する選定手段と、を備えている。 [Summary of embodiment]
The information processing apparatus according to the present embodiment is an information processing apparatus including a plurality of engines that detect inappropriate programs, and includes first characteristic information indicating characteristics of communication data transmitted from an external device; Storage means for storing second feature information in association with capability information indicating the capability of detecting an inappropriate program for each engine, and the first feature information from the communication data transmitted from the external device. Extracting means for extracting; and selecting means for selecting an engine to be operated from the plurality of engines based on the extracted first feature information and the stored second feature information. .

「不適切なプログラム」とは、ユーザが意図していない処理を行うプログラムをいう。不適切なプログラムには、例えば、コンピュータウイルス、ワーム、トロイの木馬、マルウェア、スパイウェア、迷惑メール等がある。「通信データ」は、Webページ、メール、文書、画像等を含む。「エンジン」とは、不適切なプログラムを検知するためのソフトウェアをいう。   An “inappropriate program” refers to a program that performs processing not intended by the user. Examples of inappropriate programs include computer viruses, worms, Trojan horses, malware, spyware, and spam mail. “Communication data” includes Web pages, emails, documents, images, and the like. “Engine” refers to software for detecting inappropriate programs.

[第1の実施の形態]
(情報処理システムの構成)
図1は、本発明の第1の実施の形態に係る情報処理システムの概略の構成例を示す図である。 [First Embodiment]
(Configuration of information processing system)
FIG. 1 is a diagram showing a schematic configuration example of an information processing system according to the first embodiment of the present invention.

この情報処理システム9は、ユーザ端末装置1と、サーバ装置2とを有し、ユーザ端末装置1とサーバ装置2とがネットワーク3を介して接続されている。ユーザ端末装置1は、情報処理装置の一例である。サーバ装置2は、外部装置の一例である。   The information processing system 9 includes a user terminal device 1 and a server device 2, and the user terminal device 1 and the server device 2 are connected via a network 3. The user terminal device 1 is an example of an information processing device. The server device 2 is an example of an external device.

ユーザ端末装置1は、例えばパーソナルコンピュータ、多機能型電話機(スマートフォン)等である。サーバ装置2は、例えばウェブサーバ、メールサーバ等である。   The user terminal device 1 is, for example, a personal computer, a multi-function phone (smart phone) or the like. The server device 2 is, for example, a web server or a mail server.

ネットワーク3は、LAN(Local Area Network)やイントラネット等のコンピュータネットワークであり、有線(電気ケーブル、光ケーブル等)、無線(電波、赤外線等)を問わない。   The network 3 is a computer network such as a LAN (Local Area Network) or an intranet, and may be wired (electric cable, optical cable, etc.) or wireless (radio wave, infrared ray, etc.).

情報処理システム9において、ユーザ端末装置1からサーバ装置2宛のリクエストが送出されると、リクエストがネットワーク3を介して宛先であるサーバ装置2に伝達される。そして、サーバ装置2からリクエストに対するレスポンスがネットワーク3を介してユーザ端末装置1へ送出される。   In the information processing system 9, when a request addressed to the server device 2 is transmitted from the user terminal device 1, the request is transmitted to the server device 2 that is the destination via the network 3. Then, a response to the request is sent from the server device 2 to the user terminal device 1 via the network 3.

(ユーザ端末装置の構成)
図2は、本実施の形態に係るユーザ端末装置1の構成例を示すブロック図である。また、ユーザ端末装置1は、ユーザ端末装置1は、コンピュータウイルス等の不適切なプログラムを検知する複数のエンジン(後述の第1乃至第3エンジン111〜113)を備えている。これらのエンジン111〜113は、それぞれ異なる特徴を有するエンジンであり、例えば、1つはモバイルに強いエンジンであり、あるいはオフィス文書に強いエンジンである。また、ユーザ端末装置1は、本装置1の各部を制御する制御部10と、各種の情報を記憶する記憶部11と、ネットワーク3を介して外部と通信する通信部12とを備える。記憶部11は、記憶手段の一例である。 (Configuration of user terminal device)
FIG. 2 is a block diagram illustrating a configuration example of the user terminal device 1 according to the present embodiment. Further, the user terminal device 1 includes a plurality of engines (first to third engines 111 to 113 described later) that detect inappropriate programs such as computer viruses. These engines 111 to 113 are engines having different characteristics. For example, one is an engine that is strong against mobile or an engine that is strong against office documents. In addition, the user terminal device 1 includes a control unit 10 that controls each unit of the device 1, a storage unit 11 that stores various types of information, and a communication unit 12 that communicates with the outside via the network 3. The storage unit 11 is an example of a storage unit.

制御部10は、CPU(Central Processing Unit)、インターフェース等から構成されている。CPUは、記憶部11に記憶されたプログラム110に従って動作することにより受信手段101、抽出手段102、学習手段103、選定手段104、検知手段105等として機能する。なお、各手段101〜105の詳細については後述する。   The control unit 10 includes a CPU (Central Processing Unit), an interface, and the like. The CPU functions as the reception unit 101, the extraction unit 102, the learning unit 103, the selection unit 104, the detection unit 105, and the like by operating according to the program 110 stored in the storage unit 11. Details of each means 101-105 will be described later.

記憶部11は、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク等から構成されている。記憶部11には、プログラム110、第1乃至第3エンジン111〜113、ファイル特徴テーブル114、エンジン特徴テーブル(図4参照)等が記憶される。本実施の形態では、複数のエンジンとして第1乃至第3エンジン111〜113の3つのエンジンで構成されているが、エンジンの数はこれに限定されず、例えば2つ又は4つ以上のエンジンで構成されていてもよい。なお、本明細書において、テーブルに情報を書き込む場合に記録又は登録を用い、記憶部に情報を書き込む場合に記憶を用いる。   The storage unit 11 includes a ROM (Read Only Memory), a RAM (Random Access Memory), a hard disk, and the like. The storage unit 11 stores a program 110, first to third engines 111 to 113, a file feature table 114, an engine feature table (see FIG. 4), and the like. In the present embodiment, the plurality of engines is constituted by three engines of the first to third engines 111 to 113, but the number of engines is not limited to this. For example, two or four or more engines are used. It may be configured. In this specification, recording or registration is used when information is written in the table, and memory is used when information is written in the storage unit.

ファイル特徴テーブル114は、ファイル形式が登録される「ファイル形式」欄と、ヘッダ情報が登録される「ヘッダ情報」欄とを項目として備えている。ファイル形式は、例えばPDF、JPEG等のファイル形式を示す情報であり、ヘッダ情報は、例えばファイル形式を識別するためのヘッダ値を示す情報である。つまり、ファイル特徴テーブル114には、データのヘッダ値とデータのファイル形式とが対応付けられたデータが登録されている。   The file feature table 114 includes a “file format” field in which a file format is registered and a “header information” field in which header information is registered. The file format is information indicating a file format such as PDF or JPEG, and the header information is information indicating a header value for identifying the file format, for example. That is, data in which the header value of data and the file format of data are associated is registered in the file feature table 114.

次に、制御部10の各手段について、図3を参照して説明する。図3は、第1の実施の形態に係る情報処理システム9における処理の流れを示すフロー図である。   Next, each unit of the control unit 10 will be described with reference to FIG. FIG. 3 is a flowchart showing the flow of processing in the information processing system 9 according to the first embodiment.

受信手段101は、サーバ装置2から送られてきた通信データ2aを受信する。   The receiving unit 101 receives the communication data 2 a sent from the server device 2.

抽出手段102は、サーバ装置2から送信される通信データ2aとファイル特徴テーブル114とに基づいて、通信データ2aから通信データ2aの特徴(以下「通信特徴」ともいう。)を抽出して、通信特徴データ102aを生成する。通信特徴データ102aには、通信データ2aのヘッダ情報と、通信データ2aの送信元の端末(ここではサーバ装置2)のOSの種類と、通信データ2aのファイル形式とが含まれる。OSの種類及びファイル形式は、通信特徴を示す第1の特徴情報の一例である。   Based on the communication data 2a transmitted from the server device 2 and the file feature table 114, the extraction unit 102 extracts the features of the communication data 2a from the communication data 2a (hereinafter also referred to as “communication features”), and performs communication. The feature data 102a is generated. The communication feature data 102a includes the header information of the communication data 2a, the OS type of the terminal (server device 2 in this case) that is the transmission source of the communication data 2a, and the file format of the communication data 2a. The OS type and file format are examples of first feature information indicating communication features.

OSの種類としては、例えばiOS、Windows(登録商標)等があげられる。ファイル形式としては、例えばPDF、JPEG等があげられる。ただし、通信特徴データとしては、OSの種類、ファイル形式に限定されず、例えば接続先ドメインを通信特徴として設定してもよい。   Examples of the OS type include iOS and Windows (registered trademark). Examples of the file format include PDF and JPEG. However, the communication feature data is not limited to the type of OS and the file format. For example, a connection destination domain may be set as the communication feature.

抽出手段102は、通信データ2aのファイルのヘッダからヘッダ情報を読み込んで、読み込んだヘッダ情報と一致するヘッダ情報をファイル特徴テーブル114に対して検索し、一致したファイル特徴テーブル114のヘッダ情報を含むデータのファイル形式を取得する。これにより、通信データ2aのファイル形式の判定が可能である。このように、抽出手段102は、通信データ2aとファイル特徴テーブル114とに基づいて、通信特徴データ102aを生成する。   The extraction unit 102 reads header information from the header of the file of the communication data 2a, searches the file feature table 114 for header information that matches the read header information, and includes the header information of the matched file feature table 114. Get the file format of the data. Thereby, the file format of the communication data 2a can be determined. As described above, the extracting unit 102 generates the communication feature data 102a based on the communication data 2a and the file feature table 114.

学習手段103は、第1乃至第3エンジン111〜113のそれぞれの特徴を学習する。選定手段104は、学習手段103が学習した学習結果に応じて動作するエンジンを選定することができる。また、学習手段103は、検知手段105が出力する検知結果データ105aに基づいてエンジン特徴データ115A(具体例として図4に示すエンジン特徴データ115a〜115d)を生成する。学習手段103の学習方法の詳細については後述する。   The learning unit 103 learns the characteristics of the first to third engines 111 to 113. The selection unit 104 can select an engine that operates according to the learning result learned by the learning unit 103. The learning unit 103 generates engine feature data 115A (specifically, engine feature data 115a to 115d shown in FIG. 4) based on the detection result data 105a output from the detection unit 105. Details of the learning method of the learning means 103 will be described later.

学習手段103は、生成したエンジン特徴データ115Aを学習結果として記憶部11が記憶するエンジン特徴テーブル115を更新する。これにより、エンジン特徴データ115Aが記憶部11に記憶される。エンジン特徴データ115Aには、エンジンID、通信特徴(OSの種類、ファイル形式)、検知数の情報が含まれる。   The learning unit 103 updates the engine feature table 115 stored in the storage unit 11 using the generated engine feature data 115A as a learning result. As a result, the engine feature data 115 </ b> A is stored in the storage unit 11. The engine characteristic data 115A includes information on the engine ID, communication characteristics (OS type, file format), and number of detections.

検知手段105は、サーバ装置2から受信した通信データ2aを選定手段104によって選定されたエンジンに入力する。そして、選定されたエンジンが不適切なプログラムを検知した場合には、検知手段105が不適切なプログラムを含む検知結果データ105aを出力し、この検知結果データ105aを学習手段103へ入力する。   The detection unit 105 inputs the communication data 2 a received from the server device 2 to the engine selected by the selection unit 104. When the selected engine detects an inappropriate program, the detection unit 105 outputs detection result data 105 a including the inappropriate program, and inputs the detection result data 105 a to the learning unit 103.

検知結果データ105aには、不適切なプログラムを検知したエンジンを示すエンジンIDと、不適切なプログラムが含まれていた通信データの通信特徴と、を含んでいる。   The detection result data 105a includes an engine ID indicating an engine that has detected an inappropriate program, and communication characteristics of communication data that includes the inappropriate program.

選定手段104は、抽出された通信特徴データ102aと、記憶されたエンジン特徴データ115Aとに基づいて第1乃至第3エンジン111〜113の中から動作させるエンジンを選定する。選定手段104の詳細は後述する。   The selection means 104 selects an engine to be operated from the first to third engines 111 to 113 based on the extracted communication feature data 102a and the stored engine feature data 115A. Details of the selection means 104 will be described later.

(エンジン特徴テーブルの構成)
図4は、エンジン特徴テーブル115の一例を示す図である。エンジン特徴テーブル115は、第1乃至第3エンジン111〜113の何れかのエンジンを識別するための「エンジンID」欄と、通信データ2aの特徴を示す「通信特徴」欄と、エンジンによって不適切なプログラムを検知した数が登録される「検知数」欄とを、項目として備えている。検知数は、エンジンの能力情報の一例である。 (Configuration of engine feature table)
FIG. 4 is a diagram illustrating an example of the engine feature table 115. The engine feature table 115 has an “engine ID” column for identifying one of the first to third engines 111 to 113, a “communication feature” column indicating the feature of the communication data 2a, and inappropriate depending on the engine. As an item, there is a “number of detections” column in which the number of detected simple programs is registered. The number of detections is an example of engine capability information.

「通信特徴」欄は、さらに「OSの種類」欄と、「ファイル形式」欄と、を有している。「OSの種類」欄には、学習手段103に入力される検知結果データ105aの送信元の端末(ここではサーバ装置2)のOSの種類が登録され、「ファイル形式」欄には、検知結果データ105aのファイル形式を示す情報が登録される。   The “communication feature” column further includes an “OS type” column and a “file format” column. In the “OS type” column, the OS type of the transmission source terminal (here, the server apparatus 2) of the detection result data 105a input to the learning unit 103 is registered, and in the “file format” column, the detection result Information indicating the file format of the data 105a is registered.

図4に示す例では、エンジン特徴テーブル115に、エンジン特徴データ115a〜115dが登録されている。エンジン特徴データ115aの「エンジンID」に登録されているエンジンAは第1エンジン111に対応する。同様に、エンジン特徴データ115b,115cのエンジンBは第2エンジン112に対応し、エンジン特徴データ115dのエンジンCは第3エンジン113が対応している。   In the example shown in FIG. 4, engine feature data 115 a to 115 d are registered in the engine feature table 115. The engine A registered in the “engine ID” of the engine characteristic data 115 a corresponds to the first engine 111. Similarly, the engine B of the engine feature data 115b and 115c corresponds to the second engine 112, and the engine C of the engine feature data 115d corresponds to the third engine 113.

(学習手段の詳細)
学習手段103は、第1の特徴情報である通信特徴と、第1乃至第3エンジン111〜113が不適切なプログラムを検知する能力を示す検知数と、が対応付けられたエンジン特徴データ115A(後述するエンジン特徴データ115a〜115d)を生成する。なお、エンジン特徴データ115Aが第2の特徴情報の一例であり、エンジン特徴データ115Aが学習結果の一例である。 (Details of learning methods)
The learning means 103 has engine characteristic data 115A (the first characteristic information is associated with the number of detections indicating the ability of the first to third engines 111 to 113 to detect an inappropriate program). Engine characteristic data 115a to 115d) to be described later is generated. The engine feature data 115A is an example of second feature information, and the engine feature data 115A is an example of a learning result.

上述した検知数としては、例えば過去にエンジンが不適切なプログラムを検知した回数であり、この回数を集計した集計データが登録される。これにより、第1乃至第3エンジン111〜113のそれぞれの能力に対する定量的な評価が可能であり、この評価に基づいて後述する選定手段104が動作するエンジンを選定することができる。   The number of detections described above is, for example, the number of times that the engine has detected an inappropriate program in the past, and total data obtained by counting the number of times is registered. Thereby, the quantitative evaluation with respect to each capability of the 1st thru | or 3rd engines 111-113 is possible, and the engine which the selection means 104 mentioned later operates based on this evaluation can be selected.

またさらに、学習手段103は、第1乃至第3エンジン111〜113が不適切なプログラムを検知した回数を集計した集計データを検知数として生成し、記憶部11が記憶する能力情報としての検知数を更新する。これにより、学習手段103が不適切なプログラムを検知した回数を集計しない場合に比較して、学習精度が向上するのでエンジンの特徴をより正確に把握することが可能である。   Further, the learning means 103 generates aggregated data obtained by aggregating the number of times that the first to third engines 111 to 113 have detected inappropriate programs as the number of detections, and the number of detections as capability information stored in the storage unit 11. Update. Thereby, compared with the case where the learning means 103 does not count the number of times the inappropriate program is detected, the learning accuracy is improved, so that the engine characteristics can be grasped more accurately.

学習手段103は、選定手段104が選定したエンジンによって検知された不適切なプログラムを含む検知結果データ105aを入力情報として受け取り、この検知結果データ105aを学習データとして第1乃至第3エンジン111〜113の全てのエンジンに入力して検査する。つまり、選定手段104の出力情報を、学習手段103の入力情報として利用している。これにより、ユーザ端末装置1におけるデータ入出力の効率化が図られている。   The learning unit 103 receives detection result data 105a including an inappropriate program detected by the engine selected by the selection unit 104 as input information, and uses the detection result data 105a as learning data for the first to third engines 111 to 113. Enter and inspect all engines. That is, the output information of the selection unit 104 is used as input information of the learning unit 103. Thereby, the efficiency of the data input / output in the user terminal device 1 is achieved.

(学習手段の動作)
図5は、ユーザ端末装置1の学習手段103における処理の一例を示すフローチャートである。なお図5の例では、説明の便宜上、エンジン特徴テーブル115には、第1乃至第3エンジン111〜113の全てのエンジンに関するエンジン特徴データが既に登録されているものとする。 (Operation of learning means)
FIG. 5 is a flowchart illustrating an example of processing in the learning unit 103 of the user terminal device 1. In the example of FIG. 5, for convenience of explanation, it is assumed that engine feature data regarding all the engines of the first to third engines 111 to 113 has already been registered in the engine feature table 115.

学習手段103は、第1乃至第3エンジン111〜113のうち何れか1つエンジンを選定して対象のエンジンに検知結果データ105aを入力する(ステップS10)。なお、検知結果データ105aを入力する対象エンジンの選定方法としては、例えばエンジン特徴テーブル115に「処理済フラグ」を設けておき、「処理済フラグ」が未処理であるエンジンを任意に1つ選定すればよい。   The learning unit 103 selects any one of the first to third engines 111 to 113 and inputs the detection result data 105a to the target engine (step S10). As a method for selecting a target engine to which the detection result data 105a is input, for example, a “processed flag” is provided in the engine feature table 115, and one engine whose “processed flag” is unprocessed is arbitrarily selected. do it.

次に、学習手段103は、ステップS10において検知結果データ105aが入力されたエンジンが不適切なプログラムを検知したか否かを判定する(ステップS11)。   Next, the learning unit 103 determines whether or not the engine to which the detection result data 105a is input in step S10 has detected an inappropriate program (step S11).

不適切なプログラムを検知した場合には(ステップS11:Yes)、エンジン特徴データ115Aを生成する(ステップS12)。一方、不適切なプログラムを検知していない場合には(ステップS11:No)、ステップS14の処理に進む。   If an inappropriate program is detected (step S11: Yes), engine characteristic data 115A is generated (step S12). On the other hand, when an inappropriate program is not detected (step S11: No), the process proceeds to step S14.

ステップS12の処理において、学習手段103はエンジン特徴データ115Aを生成する。学習手段103は、検知結果データ105aからエンジンIDと通信特徴を抽出し、抽出したエンジンIDと通信特徴に検知数の情報を加えたデータをエンジン特徴データ115Aとして生成する(ステップS12)。   In the process of step S12, the learning unit 103 generates engine feature data 115A. The learning unit 103 extracts the engine ID and communication feature from the detection result data 105a, and generates data obtained by adding the number of detections to the extracted engine ID and communication feature as engine feature data 115A (step S12).

次に、学習手段103は、エンジン特徴テーブル115に対して、エンジン特徴データ115Aの通信特徴と合致する通信特徴を含んだエンジン特徴データが存在するか否かを判定し、存在した場合には、エンジン特徴テーブル115の対象となるエンジン特徴データ(例えば図4に示すエンジン特徴データ115a〜115dの何れかのデータ)の「検知数」(図4参照)に「+1」を加算して、エンジン特徴テーブル115に対する更新処理を完了する(ステップS13)。この際、上述したエンジン特徴テーブル115の「処理済フラグ」を未処理から処理済に更新する。これにより、第1乃至第3エンジン111〜113の全てのエンジンを対象に学習手段103の処理が実行される。   Next, the learning unit 103 determines whether or not engine feature data including a communication feature that matches the communication feature of the engine feature data 115A exists in the engine feature table 115. “+1” is added to the “number of detections” (see FIG. 4) of the engine feature data (for example, any one of the engine feature data 115a to 115d shown in FIG. 4) of the engine feature table 115, and the engine feature data is obtained. The update process for the table 115 is completed (step S13). At this time, the “processed flag” in the engine feature table 115 described above is updated from unprocessed to processed. Thereby, the process of the learning means 103 is performed for all the first to third engines 111 to 113.

なお、上記のステップS13の処理において、エンジン特徴テーブル115に対する検索キーを通信特徴としているが、OSの種類及びファイル形式の双方を検索キーとしてもよく、OSの種類あるいはファイル形式の何れか一方のみを検索キーとしてもよい。あるいは、エンジン特徴テーブル115に対してエンジン特徴データ115AのOSの種類及びファイル形式の双方が合致したデータが存在しない場合は、OSの種類(あるいはファイル形式)のみ合致するデータを検索するようにしてもよい。   In the process of step S13, the search key for the engine feature table 115 is a communication feature. However, both the OS type and the file format may be used as the search key, and only one of the OS type or the file format is used. May be used as a search key. Alternatively, if there is no data that matches both the OS type and the file format of the engine feature data 115A in the engine feature table 115, search for data that matches only the OS type (or file format). Also good.

一方、エンジン特徴データ115Aの通信特徴と合致したエンジン特徴データが存在しない場合には、当該エンジン特徴データ115Aをエンジン特徴テーブル115に新規登録する。   On the other hand, if there is no engine feature data that matches the communication feature of the engine feature data 115A, the engine feature data 115A is newly registered in the engine feature table 115.

次に、学習手段103は、処理対象のエンジンが存在するか否かを判定し(ステップS14)、存在する場合には(ステップS14:Yes)、ステップS10の処理に戻る。一方、未処理のエンジンが存在しない場合には(ステップS14:No)、学習手段103の処理を完了する。このステップS14の処理は、例えば学習手段103がエンジン特徴テーブル115の「処理済フラグ」が未処理であるエンジンが存在するか否かを判定すればよい。   Next, the learning means 103 determines whether or not there is an engine to be processed (step S14), and if it exists (step S14: Yes), the process returns to the process of step S10. On the other hand, when there is no unprocessed engine (step S14: No), the process of the learning means 103 is completed. For example, the learning unit 103 may determine whether or not there is an engine whose “processed flag” in the engine feature table 115 is unprocessed.

(選定手段の動作)
次に、選定手段104の処理の詳細について、図6を参照して説明する。図6は、ユーザ端末装置の選定手段における処理の一例を示すフローチャートである。 (Operation of selection means)
Next, details of the processing of the selection means 104 will be described with reference to FIG. FIG. 6 is a flowchart illustrating an example of processing in the selection unit of the user terminal device.

まず、選定手段104は、エンジン特徴テーブル115と、抽出手段102に抽出された通信データ2aとを比較する(ステップS20)。   First, the selection unit 104 compares the engine feature table 115 with the communication data 2a extracted by the extraction unit 102 (step S20).

そして、選定手段104は、抽出された通信特徴データ102aの通信特徴と、記憶部11に記憶されたエンジン特徴テーブル115に含まれる通信特徴とが一致するデータがエンジン特徴テーブル115に存在するか否かを判定する(ステップS21)。対象データが存在した場合には(ステップS21:Yes)、エンジン特徴テーブル115の対象データが予め定められた条件を満たすか否かを判定する(ステップS22)。   Then, the selecting unit 104 determines whether or not the engine feature table 115 includes data in which the communication feature of the extracted communication feature data 102a matches the communication feature included in the engine feature table 115 stored in the storage unit 11. Is determined (step S21). If the target data exists (step S21: Yes), it is determined whether the target data in the engine feature table 115 satisfies a predetermined condition (step S22).

一方、対象データが存在しない場合には(ステップS21:No)、全てのエンジンを動作させる(ステップS24)。同様に、ステップS22の処理において、対象データが条件を満たさない場合にも(ステップS22:No)、全エンジンを動作させる(ステップS24)。つまり、動作させるエンジンを選定できない場合には、セキュリティリスクを考慮して全てのエンジンが動作するように構成されている。   On the other hand, when the target data does not exist (step S21: No), all the engines are operated (step S24). Similarly, when the target data does not satisfy the condition in the process of step S22 (step S22: No), all the engines are operated (step S24). That is, when an engine to be operated cannot be selected, all engines are configured to operate in consideration of security risks.

ここで、上述の条件としては、複数のエンジンが不適切なプログラムを検知する能力情報(本実施の形態では検知数)に対して相対的に評価できる条件であればよく、例えば「対象データのうち検知数が最も大きいデータであること」あるいは「対象データのうち検知数が最も大きいデータと、その次に検知数が大きいデータであること」としてもよい。   Here, the above-described condition may be a condition that allows a plurality of engines to evaluate relatively with respect to capability information (the number of detections in the present embodiment) for detecting an inappropriate program. It may be “the data with the largest number of detections” or “the data with the largest number of detections among the target data and the data with the next largest number of detections”.

図4に示すエンジン特徴テーブル115を例に説明すると、例えば通信特徴データ102aの通信特徴のOSの種類が「iOS」で、かつ、ファイル形式が「PDF」の場合には、ステップS20の処理においてエンジン特徴テーブル115のエンジン特徴データ115aとエンジン特徴データ115dとが対象データに該当する。そしてステップS21の処理において、エンジン特徴データ115aの検知数(10)がエンジン特徴データ115dの検知数(6)より大きい(10>6)ので、検知数が最も大きいデータであるという条件を満たすデータとして判定され、エンジンIDがエンジンAに対応する第1エンジン111が動作するエンジンとして選定される。   The engine feature table 115 shown in FIG. 4 will be described as an example. For example, when the OS type of the communication feature of the communication feature data 102a is “iOS” and the file format is “PDF”, the processing in step S20 is performed. Engine feature data 115a and engine feature data 115d in the engine feature table 115 correspond to target data. In the process of step S21, the number of detections of the engine feature data 115a (10) is larger than the number of detections of the engine feature data 115d (6) (10> 6), so that the data satisfying the condition that the number of detections is the largest. And the engine ID corresponding to the engine A is selected as the engine on which the first engine 111 operates.

このように、選定手段104は、条件を満たした対象データのエンジンIDに対応するエンジンを動作させるエンジンとして選定する(ステップS23)。これにより、選定手段104の処理が終了する。   Thus, the selection means 104 selects as an engine which operates the engine corresponding to engine ID of the object data which satisfy | filled conditions (step S23). Thereby, the process of the selection means 104 is complete | finished.

このように、選定手段104は、通信特徴データ102aの通信特徴とエンジン特徴テーブル115に登録されているエンジン特徴データ115a〜115dの通信特徴とが一致した場合に、エンジン特徴データ115Aの検知数に基づいて動作させるエンジンを選定する。これにより、通信データ2aの特徴に適した特徴を備えるエンジンを動作するエンジンとして選定することができる。なお、選定手段104が選定するエンジンの個数は限定されるものではなく、例えば2つのエンジンを選定してもよい。   As described above, the selecting unit 104 determines the number of detected engine feature data 115A when the communication feature of the communication feature data 102a matches the communication feature of the engine feature data 115a to 115d registered in the engine feature table 115. Select the engine to be operated based on this. Thereby, the engine provided with the characteristic suitable for the characteristic of the communication data 2a can be selected as the engine to operate. Note that the number of engines selected by the selection unit 104 is not limited. For example, two engines may be selected.

以上説明したように、選定手段104は、能力情報が予め定められた条件を満たした場合に、前記条件を満たした能力情報に対応したエンジンを動作させるエンジンとして選定する。これにより、複数のエンジンにおけるそれぞれの能力の内容に基づいたエンジンの選定をすることができる。   As described above, when the capability information satisfies a predetermined condition, the selection unit 104 selects the engine that operates the engine corresponding to the capability information that satisfies the condition. Thereby, the engine can be selected based on the contents of the respective capacities of the plurality of engines.

[第2の実施の形態]
図7は、本発明の第2の実施の形態に係る情報処理システムの概略の構成を示す図である。本実施の形態は、第1の実施の形態において、学習手段103の機能を備えた学習装置4を外部の装置として構成したものである。以下、第1の実施の形態と異なる点を中心に説明する。 [Second Embodiment]
FIG. 7 is a diagram showing a schematic configuration of an information processing system according to the second embodiment of the present invention. In the present embodiment, the learning device 4 having the function of the learning means 103 is configured as an external device in the first embodiment. The following description will focus on differences from the first embodiment.

図7に示すように、本実施の形態に係る情報処理システム90は、ユーザ端末装置1と、サーバ装置2と、学習装置4と、を有し、ユーザ端末装置1、サーバ装置2、及び学習装置4がネットワーク3を介して接続されている。   As illustrated in FIG. 7, the information processing system 90 according to the present embodiment includes a user terminal device 1, a server device 2, and a learning device 4, and the user terminal device 1, the server device 2, and learning A device 4 is connected via a network 3.

図8は、第2の実施の形態に係る情報処理システム90における処理の流れを示すフロー図である。図8に示すように、ユーザ端末装置1は、受信手段101と、抽出手段102と、選定手段104と、検知手段105と、とを備えている。選定手段104は、通信特徴データ102aと、学習装置4から送られる第2の特徴情報としてのエンジン特徴データ410aとに基づいて、動作するエンジンを選定する。   FIG. 8 is a flowchart showing the flow of processing in the information processing system 90 according to the second embodiment. As illustrated in FIG. 8, the user terminal device 1 includes a reception unit 101, an extraction unit 102, a selection unit 104, and a detection unit 105. The selection means 104 selects an engine to operate based on the communication feature data 102a and the engine feature data 410a as the second feature information sent from the learning device 4.

学習装置4は、学習手段401と、エンジン特徴データ生成手段402と、第1乃至第3エンジン411〜413と、を備えている。学習手段401は、ユーザ端末装置1から送られてくる検知結果データ105aからエンジン特徴データ410aを生成し、エンジン特徴データ410aをエンジン特徴テーブル410に登録する。学習手段401は、生成したエンジン特徴データ410aをユーザ端末装置1に送信する。   The learning device 4 includes learning means 401, engine feature data generation means 402, and first to third engines 411 to 413. The learning unit 401 generates engine feature data 410 a from the detection result data 105 a sent from the user terminal device 1, and registers the engine feature data 410 a in the engine feature table 410. The learning unit 401 transmits the generated engine feature data 410 a to the user terminal device 1.

学習手段401は、検知結果データ105aを第1乃至第3エンジン411〜413に入力して全てのエンジンに検査を実行する。そして、学習手段401が各エンジンの検査結果を取得して、検査結果に基づいて第1の実施の形態で説明したエンジン特徴データ115Aと同様の方法でエンジン特徴データ410aを生成する。   The learning unit 401 inputs the detection result data 105a to the first to third engines 411 to 413, and executes inspection for all the engines. Then, the learning unit 401 acquires the inspection result of each engine, and generates engine feature data 410a based on the inspection result by the same method as the engine feature data 115A described in the first embodiment.

このように、エンジンの特徴を学習する学習機能を外部装置に構築することができるので、学習機能がユーザ端末装置1に実装された第1の実施の形態に比較して、ユーザ端末装置1の処理の負荷が低減される。   As described above, since the learning function for learning the features of the engine can be constructed in the external device, the learning function of the user terminal device 1 is compared with the first embodiment in which the learning function is implemented in the user terminal device 1. The processing load is reduced.

なお、第1の実施の形態では、ユーザ端末装置1が本発明における情報処理装置の一例である場合について説明したが、これに限定されず、例えば、ユーザ端末装置1とサーバ装置2との間の通信を中継するゲートウェイ装置が本発明における情報処理装置の一例であってもよい。つまり、この場合には、ゲートウェイ装置が図2において説明した制御部10の各手段101〜105と、記憶部11と、通信部12とを備える。   In the first embodiment, the case where the user terminal device 1 is an example of the information processing device according to the present invention has been described. However, the present invention is not limited to this, and for example, between the user terminal device 1 and the server device 2. An example of the information processing apparatus according to the present invention may be a gateway device that relays the communication. That is, in this case, the gateway device includes the units 101 to 105 of the control unit 10 described in FIG. 2, the storage unit 11, and the communication unit 12.

以上、本発明の実施の形態を説明したが、本発明の実施の形態は上記実施の形態に限定されるものではなく、本発明の要旨を変更しない範囲内で種々の変形、実施が可能である。   Although the embodiments of the present invention have been described above, the embodiments of the present invention are not limited to the above-described embodiments, and various modifications and implementations are possible without departing from the scope of the present invention. is there.

制御部10の各手段は、それぞれ一部又は全部を再構成可能回路(FPGA:Field Programmable Gate Array)、特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)等のハードウエア回路によって構成してもよい。   Each part of the control unit 10 may be partially or entirely configured by a hardware circuit such as a reconfigurable circuit (FPGA: Field Programmable Gate Array) or an application specific integrated circuit (ASIC). Good.

上記実施の形態では、選定手段104は通信データ2aの通信特徴と、エンジン特徴データ115Aの通信特徴とが一致した場合に動作させるエンジンを選定していたが、これに限定されず、例えば通信データ2aの通信特徴が特定の通信特徴(例えば危険性の高い通信特徴等)である場合に、エンジンの動作モードを設定するようにしてもよい。動作モードとしては、例えば全てのエンジンを動作させる慎重モード等が挙げられる。これにより、セキュリティが向上する。   In the above embodiment, the selection unit 104 selects the engine to be operated when the communication feature of the communication data 2a matches the communication feature of the engine feature data 115A. However, the selection unit 104 is not limited to this. When the communication feature 2a is a specific communication feature (for example, a communication feature with high risk), the operation mode of the engine may be set. As an operation mode, for example, a careful mode in which all engines are operated can be cited. This improves security.

第2の実施の形態では、ユーザ端末装置1が1つである場合について説明したが、これに限定されず、例えばユーザ端末装置は複数であってもよい。この場合には、複数のユーザ端末装置のそれぞれから検知結果データ105aが学習装置4に送られるので、学習装置4の学習データが増加する。これにより、学習装置4の学習効率が向上し、選定手段104がより最適なエンジンを選定することができる。   In the second embodiment, the case where there is one user terminal device 1 has been described. However, the present invention is not limited to this. For example, a plurality of user terminal devices may be provided. In this case, since the detection result data 105a is sent from each of the plurality of user terminal devices to the learning device 4, the learning data of the learning device 4 increases. Thereby, the learning efficiency of the learning device 4 is improved, and the selection unit 104 can select a more optimal engine.

また、本発明の要旨を変更しない範囲内で、上記実施の形態の構成要素の一部を省くことや変更することが可能である。また、本発明の要旨を変更しない範囲内で、上記実施の形態のフローにおいて、ステップの追加、削除、変更、入替え等が可能である。また、上記実施の形態で用いたプログラムをCD−ROM等のコンピュータ読み取り可能な記録媒体に記録して提供することができる。また、上記実施の形態で用いたプログラムをクラウドサーバ等の外部サーバに格納しておき、ネットワークを介して利用することができる。   Further, it is possible to omit or change some of the constituent elements of the above-described embodiment within a range not changing the gist of the present invention. In addition, steps can be added, deleted, changed, replaced, and the like in the flow of the above-described embodiment without departing from the scope of the present invention. The program used in the above embodiment can be provided by being recorded on a computer-readable recording medium such as a CD-ROM. The program used in the above embodiment can be stored in an external server such as a cloud server and used via a network.

1…ユーザ端末装置
2…サーバ装置
2a…通信データ
3…ネットワーク
4…学習装置
9…情報処理システム
10…制御部
11…記憶部
12…通信部
90…情報処理システム
101…受信手段
102…抽出手段
102a…通信特徴データ
103…学習手段
104…選定手段
105…検知手段
105a…検知結果データ
110…プログラム
111…第1エンジン
112…第2エンジン
113…第3エンジン
114…ファイル特徴テーブル
115,410…エンジン特徴テーブル
115A,410a…エンジン特徴データ
115a〜115d…エンジン特徴データ
401…学習手段
402…エンジン特徴データ生成手段
DESCRIPTION OF SYMBOLS 1 ... User terminal device 2 ... Server apparatus 2a ... Communication data 3 ... Network 4 ... Learning apparatus 9 ... Information processing system 10 ... Control part 11 ... Storage | storage part 12 ... Communication part 90 ... Information processing system 101 ... Reception means 102 ... Extraction means 102a ... communication feature data 103 ... learning means 104 ... selection means 105 ... detection means 105a ... detection result data 110 ... program 111 ... first engine 112 ... second engine 113 ... third engine 114 ... file feature tables 115, 410 ... engine Feature tables 115A, 410a ... engine feature data 115a to 115d ... engine feature data 401 ... learning means 402 ... engine feature data generating means

Claims (9)

不適切なプログラムを検知する複数のエンジンを備えた情報処理装置であって、
外部装置から送信された通信データの特徴を示す第1の特徴情報と、エンジンごとの不適切なプログラムを検知する能力を示す能力情報とを対応付けた第2の特徴情報を記憶する記憶手段と、
前記外部装置から送信される前記通信データから前記第1の特徴情報を抽出する抽出手段と、
抽出された前記第1の特徴情報と前記記憶手段に記憶された前記第2の特徴情報とに基づいて前記複数のエンジンの中から動作させるエンジンを選定する選定手段と、
を備えた情報処理装置。 An information processing apparatus having a plurality of engines for detecting inappropriate programs,
Storage means for storing second feature information in which first feature information indicating features of communication data transmitted from an external device is associated with capability information indicating the capability of detecting an inappropriate program for each engine; ,
Extraction means for extracting the first feature information from the communication data transmitted from the external device;
Selecting means for selecting an engine to be operated from the plurality of engines based on the extracted first feature information and the second feature information stored in the storage means;
An information processing apparatus comprising: 前記選定手段は、前記抽出された前記第1の特徴情報と、前記記憶手段に記憶された前記第2の特徴情報に含まれる第1の特徴情報とが一致した場合に、前記第2の特徴情報の前記能力情報に基づいて前記動作させるエンジンを選定する、
請求項1に記載の情報処理装置。 The selection unit is configured to detect the second feature when the extracted first feature information matches the first feature information included in the second feature information stored in the storage unit. Selecting the engine to be operated based on the capability information of the information;
The information processing apparatus according to claim 1. 前記選定手段は、前記能力情報が予め定められた条件を満たした場合に、前記条件を満たした前記能力情報に対応したエンジンを動作させるエンジンとして選定する、
請求項2に記載の情報処理装置。 The selection means is selected as an engine for operating an engine corresponding to the capability information that satisfies the condition when the capability information satisfies a predetermined condition.
The information processing apparatus according to claim 2. 前記能力情報は、前記エンジンが前記不適切なプログラムを検知した回数である、
請求項3に記載の情報処理装置。 The capability information is the number of times the engine has detected the inappropriate program.
The information processing apparatus according to claim 3. 前記複数のエンジンの特徴を学習する学習手段をさらに備え、
前記学習手段は、前記第2の特徴情報を学習結果として前記記憶手段が記憶する前記第2の特徴情報を更新する、
請求項1から4の何れか1項に記載の情報処理装置。 Learning means for learning features of the plurality of engines;
The learning unit updates the second feature information stored in the storage unit as a learning result of the second feature information;
The information processing apparatus according to any one of claims 1 to 4. 前記学習手段は、前記不適切なプログラムを前記複数のエンジンのそれぞれに検査させ、エンジンごとの前記検査の結果を集計した集計データを前記能力情報として生成し、前記記憶手段が記憶する前記能力情報を更新する、
請求項5に記載の情報処理装置。 The learning unit causes the plurality of engines to inspect the inappropriate program, generates aggregated data obtained by aggregating the inspection results for each engine as the capability information, and the capability information stored in the storage unit Update,
The information processing apparatus according to claim 5. 前記不適切なプログラムは、前記選定手段によって選定されたエンジンが検知した不適切なプログラムである、
請求項6に記載の情報処理装置。 The inappropriate program is an inappropriate program detected by the engine selected by the selection means.
The information processing apparatus according to claim 6. 前記第2の特徴情報は、前記複数のエンジンの特徴を学習する学習装置から送信された学習結果である、
請求項1から4の何れか1項に記載の情報処理装置。 The second feature information is a learning result transmitted from a learning device that learns features of the plurality of engines.
The information processing apparatus according to any one of claims 1 to 4. 外部装置から送信された通信データの特徴を示す第1の特徴情報と、不適切なプログラムを検知する複数のエンジンが前記不適切なプログラムを検知する能力を示す能力情報とを対応付けた第2の特徴情報を記憶する記憶手段を有するコンピュータを、
前記外部装置から送信される前記通信データから前記第1の特徴情報を抽出する抽出手段と、
抽出された前記第1の特徴情報と前記記憶手段に記憶された前記第2の特徴情報とに基づいて前記複数のエンジンの中から動作させるエンジンを選定する選定手段、
として機能させるためのプログラム。 Second feature in which first feature information indicating characteristics of communication data transmitted from an external device is associated with capability information indicating the ability of a plurality of engines that detect inappropriate programs to detect the inappropriate programs A computer having storage means for storing the feature information of
Extraction means for extracting the first feature information from the communication data transmitted from the external device;
Selection means for selecting an engine to be operated from the plurality of engines based on the extracted first feature information and the second feature information stored in the storage means;
Program to function as.
JP2017175974A 2017-09-13 2017-09-13 Information processing equipment and programs Active JP6992341B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017175974A JP6992341B2 (en) 2017-09-13 2017-09-13 Information processing equipment and programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017175974A JP6992341B2 (en) 2017-09-13 2017-09-13 Information processing equipment and programs

Publications (2)

Publication Number Publication Date
JP2019053421A true JP2019053421A (en) 2019-04-04
JP6992341B2 JP6992341B2 (en) 2022-01-13

Family

ID=66015050

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017175974A Active JP6992341B2 (en) 2017-09-13 2017-09-13 Information processing equipment and programs

Country Status (1)

Country Link
JP (1) JP6992341B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120084859A1 (en) * 2010-09-30 2012-04-05 Microsoft Corporation Realtime multiple engine selection and combining
JP2014089593A (en) * 2012-10-30 2014-05-15 Hitachi Ltd Program analysis system and method
JP2014515857A (en) * 2011-09-30 2014-07-03 ▲騰▼▲訊▼科技(深▲セン▼)有限公司 Method and apparatus for detecting and removing viruses with a multi-engine
JP2017004123A (en) * 2015-06-05 2017-01-05 日本電信電話株式会社 Determination apparatus, determination method, and determination program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120084859A1 (en) * 2010-09-30 2012-04-05 Microsoft Corporation Realtime multiple engine selection and combining
JP2014515857A (en) * 2011-09-30 2014-07-03 ▲騰▼▲訊▼科技(深▲セン▼)有限公司 Method and apparatus for detecting and removing viruses with a multi-engine
JP2014089593A (en) * 2012-10-30 2014-05-15 Hitachi Ltd Program analysis system and method
JP2017004123A (en) * 2015-06-05 2017-01-05 日本電信電話株式会社 Determination apparatus, determination method, and determination program

Also Published As

Publication number Publication date
JP6992341B2 (en) 2022-01-13

Similar Documents

Publication Publication Date Title
US9888019B1 (en) System and method for detecting malicious links in electronic messages
JP6239215B2 (en) Information processing apparatus, information processing method, and information processing program
AU2015403433B2 (en) System and method for high speed threat intelligence management using unsupervised machine learning and prioritization algorithms
US9628507B2 (en) Advanced persistent threat (APT) detection center
US20160142429A1 (en) Preventing access to malicious content
JP2021503142A (en) Analysis and reporting of suspicious emails
CN112242984B (en) Method, electronic device and computer program product for detecting abnormal network request
EP3599566B1 (en) Machine learning data filtering in a cross-domain environment
US10623426B1 (en) Building a ground truth dataset for a machine learning-based security application
KR20180079434A (en) Virus database acquisition methods and devices, equipment, servers and systems
CN109976828B (en) Method and device for configuring file
JP6992341B2 (en) Information processing equipment and programs
US11831672B2 (en) Malware detection and mitigation system and method
WO2022156293A1 (en) Method and apparatus for processing alert log, and storage medium
JP7140268B2 (en) WARNING DEVICE, CONTROL METHOD AND PROGRAM
EP3799367B1 (en) Generation device, generation method, and generation program
US11176251B1 (en) Determining malware via symbolic function hash analysis
US20170180511A1 (en) Method, system and apparatus for dynamic detection and propagation of data clusters
JP6219621B2 (en) Communication verification device
US11966477B2 (en) Methods and apparatus for generic process chain entity mapping
US11985151B2 (en) Generation device, generation method, and generation program
JP6254401B2 (en) Information processing apparatus, information processing method, and information processing system
CN116170221A (en) Network event detection method, device, terminal equipment and computer storage medium
KR20140127036A (en) Server and method for spam filtering
WO2014071850A1 (en) Method and apparatus for storing webpage access records

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210414

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210427

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211122

R150 Certificate of patent or registration of utility model

Ref document number: 6992341

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150