JP2021015421A - 情報処理プログラム、情報処理方法および情報処理装置 - Google Patents

情報処理プログラム、情報処理方法および情報処理装置 Download PDF

Info

Publication number
JP2021015421A
JP2021015421A JP2019129389A JP2019129389A JP2021015421A JP 2021015421 A JP2021015421 A JP 2021015421A JP 2019129389 A JP2019129389 A JP 2019129389A JP 2019129389 A JP2019129389 A JP 2019129389A JP 2021015421 A JP2021015421 A JP 2021015421A
Authority
JP
Japan
Prior art keywords
operation log
learning
information processing
attack
logs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019129389A
Other languages
English (en)
Inventor
琢也 西野
Takuya Nishino
琢也 西野
翔太郎 矢野
Shotaro Yano
翔太郎 矢野
孝徳 及川
Takanori Oikawa
孝徳 及川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2019129389A priority Critical patent/JP2021015421A/ja
Priority to US16/921,647 priority patent/US20210012001A1/en
Publication of JP2021015421A publication Critical patent/JP2021015421A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】順序関係を考慮した攻撃判定を行うことが可能な情報処理プログラム、情報処理方法および情報処理装置を提供する。【解決手段】情報処理装置において、制御部の収集部は、第1の装置から第2の装置に対する特定の操作ログおよび特定の操作ログの前後の第1の装置から第2の装置に対する操作ログを含む複数の操作ログと、第1の装置から前記第2の装置に対する攻撃の有無を示す正解情報とが関連付けられた訓練データを取得する。第2学習部は、複数の操作ログそれぞれに対応した複数のグラフ構造データを成分に含み、特定の操作ログおよび特定の操作ログの前後の操作ログの順序関係を成分に含む順序行列データを生成し、順序行列データをニューラルネットワークに入力することで、訓練データに基づく学習モデルの学習を実行する。【選択図】図6

Description

本発明は、情報処理プログラム、情報処理方法および情報処理装置に関する。
サイバーセキュリティ分野などでは、ある時間帯に行われた各IP(Internet Protocol)アドレス間の操作ログを個別に分析して、攻撃か否かを判定することが行われている。一般的に、操作ログには、疎通確認など頻繁に行われる操作も含まれることから、全操作ログから操作ログの間引きなどが実行される。
近年では、機械学習などを用いた攻撃検知なども行われている。例えば、攻撃が行われたある時間帯の操作ログ、攻撃が行われていないある時間帯の操作ログなどを収集し、収集された操作ログを説明変数、攻撃の有無を目的変数とする訓練データを用いて、操作ログから攻撃の有無を判定する学習モデルを学習する。
また、特定の操作ログに限らず、操作ログの順序関係から攻撃の有無を判定する学習モデルも知られている。例えば、前後の操作を判定対象とするために、ある時間帯の操作ログとその時間帯の前後の時間帯の操作ログを収集し、これらの操作ログを統合させた統合ログを説明変数、攻撃の有無を目的変数とする訓練データを用いて、学習モデルを学習する。
特開2018−055580号公報 特表2018−524735号公報 国際公開第2018/66221号 国際公開第2018/163342号
しかしながら、上記技術では、統合ログも複数の操作ログの内容が混在する1つの操作ログとして学習されるので、このように学習された学習モデルを用いても、順序関係を考慮した攻撃判定を実行することができない。
また、操作時に使用される通信プロトコルによっては、コマンドごとにセッションがばらばらになってしまい、操作ログが非常に少ないセッションができることがある。これにより、正常操作、攻撃操作が同じログになってしまい、判定が難しいだけでなく、全てのセッションが判定できない事象が発生する場合もある。なお、操作ログの間引きを行わずに、全操作ログを学習対象することも考えられるが、膨大な量になるので、学習時間も長時間化し、現実的ではない。
また、ある時間帯の前後の時間帯の操作ログを統合し、統合した操作ログから生成されるテンソルデータと、ある時間帯の操作ログから生成されるテンソルデータのそれぞれを入力した機械学習も考えられる。しかし、複数の操作ログを1つの操作ログとしてテンソルデータが生成されるので、他の操作ログと同様に、1つの操作ログの特徴を学習することになり、順序関係を考慮した攻撃判定を実行することができない。
一つの側面では、順序関係を考慮した攻撃判定を実行することができる情報処理プログラム、情報処理方法および情報処理装置を提供することを目的とする。
第1の案では、情報処理プログラムは、コンピュータに、第1の装置から第2の装置に対する特定の操作ログ、および前記特定の操作ログの前後の前記第1の装置から前記第2の装置に対する操作ログを含む複数の操作ログと、前記第1の装置から前記第2の装置に対する攻撃の有無を示す正解情報とが関連付けられた訓練データを取得する処理を実行させる。情報処理プログラムは、コンピュータに、前記複数の操作ログそれぞれに対応した複数のグラフ構造データを成分に含み、前記特定の操作ログおよび前記特定の操作ログの前後の操作ログの順序関係を成分に含む順序行列データを生成する処理を実行させる。情報処理プログラムは、コンピュータに、前記順序行列データをニューラルネットワークに入力することで、前記訓練データに基づく学習モデルの学習を実行する処理を実行させる。
一実施形態によれば、順序関係を考慮した攻撃判定を実行することができる。
図1は、実施例1にかかるシステムの全体構成例を説明する図である。 図2は、実施例1にかかる情報処理装置を説明する図である。 図3は、一般的な統合ログによる学習を説明する図である。 図4は、一般技術では判定が困難な例を説明する図である。 図5は、実施例1にかかる情報処理装置による学習例を説明する図である。 図6は、実施例1にかかる情報処理装置の機能構成を示す機能ブロック図である。 図7は、操作ログDBに記憶される操作ログの一例を示す図である。 図8は、第1訓練データDBに記憶される訓練データの一例を示す図である。 図9は、第2訓練データDBに記憶される訓練データの一例を示す図である。 図10は、第1学習部による学習を説明する図である。 図11は、第2学習部による学習を説明する図である。 図12は、行列変換を説明する図である。 図13は、ベクトル抽出を説明する図である。 図14は、学習処理の流れを示すフローチャートである。 図15は、判定処理の流れを示すフローチャートである。 図16は、ハードウェア構成例を説明する図である。
以下に、本願の開示する情報処理プログラム、情報処理方法および情報処理装置の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。また、各実施例は、矛盾しない範囲で適宜組みあわせてもよい。
[全体構成]
図1は、実施例1にかかるシステムの全体構成例を説明する図である。図1に示すように、このシステムは、操作ログを解析してサーバへの不正なアクセスなどの各種攻撃を検知するシステムであり、ユーザ端末1と複数のサーバ2と情報処理装置10とを有し、各装置がネットワークNを介して接続される。また、各装置には、IPアドレスが割当てられている。なお、ネットワークNは、有線や無線を問わず、インターネットや専用線などの各種通信網を採用することができる。また、ユーザ端末1やサーバ2は、1台に限らず、複数台を有していてもよい。
ユーザ端末1は、各サーバ2へアクセスする端末装置の一例であり、例えば正規にサーバ2にアクセスする正当ユーザの端末装置や悪意を持ってサーバ2に不正アクセスを行う不正ユーザの端末装置などである。なお、端末装置の一例としては、パーソナルコンピュータ、携帯電話、スマートフォンなどを採用することができる。
各サーバ2は、ユーザ端末1等に各種サービスを提供するサーバ装置であり、Webサーバ、データベースサーバ、ファイルサーバなどである。また、各サーバ2は、ユーザ端末1からのアクセス履歴、スクリプトやコマンドの実行内容、サーバ上で実行される処理内容、他端末との間のデータ送受信の状況などを含む履歴情報を保持する。
情報処理装置10は、学習モデルの学習や学習済みの学習モデルを用いた判定などを実行するコンピュータ装置である。具体的には、情報処理装置10は、各サーバ2に記憶される履歴情報から、ユーザ端末1と各サーバ2との間で実行された操作に関する操作ログを取得し、各操作ログを用いて攻撃か否かを判定する学習モデルを学習する。そして、情報処理装置10は、学習済みの学習モデルを用いて攻撃判定を実行する。
例えば、情報処理装置10は、通信セッションごとに、各IPアドレス間の操作ログを抽出し、ある時間帯の操作ログの前後の操作ログを含む順序を考慮した学習モデルを学習する。なお、通信セッションとは、ネットワーク接続中の情報が交換されている時間の単位であり、ある端末からある端末への一連の操作情報を表している。
図2は、実施例1にかかる情報処理装置を説明する図である。図2に示すように、情報処理装置10は、学習フェーズと判定フェーズとを有する。
学習フェーズでは、情報処理装置10は、ユーザ端末1とサーバ2との間で接続されたセッション1、セッション2、セッション3の順に、各セッションで発生した操作ログ1、操作ログ2、操作ログ3を取得する。そして、情報処理装置10は、操作ログ1、操作ログ2、操作ログ3から、順序を考慮した(順序の次元を追加した)特徴量を生成する。そして、情報処理装置10は、この特徴量を説明変数、既知の攻撃有無を目的変数(教師ラベル)とする訓練データを用いて、ニューラルネットワークなどを用いた学習モデルを学習する。このようにして、情報処理装置10は、攻撃有無が既知である一連の操作ログの流れから、攻撃有無を判定する学習モデルを学習する。
判定フェーズでは、情報処理装置10は、判定対象のセッションとその前後のセッションとから、操作ログA、操作ログB、操作ログCを取得する。そして、情報処理装置10は、操作ログA、操作ログB、操作ログCから、学習フェーズと同様の手法により、順序を考慮した特徴量を生成して、学習済みの学習モデルに入力する。その後、情報処理装置10は、学習済みの学習モデルからの出力結果に基づき、操作ログA、操作ログB、操作ログCがサーバ2への攻撃を含む不正な操作か正常な操作のいずれかを判定する。このようにして、情報処理装置10は、一連の操作ログの流れから、攻撃有無を判定する。
[一般技術の説明]
ところで、一般的には、複数の操作ログを統合した統合ログをテンソル化したテンソルデータを用いた学習が知られている。図3は、一般的な統合ログによる学習を説明する図である。図3に示すように、端末S1とサーバd1との間で、ある時間帯においてセッション1が接続され、次の時間帯においてセッション2が接続され、その次の時間帯においてセッション3が接続されたとする。
この場合、セッション1で発生した操作ログ1とセッション2で発生した操作ログ2とセッション3で発生した操作ログ3とを統合した統合ログを生成する。そして、この統合ログから生成されるテンソルデータを説明変数、既知の攻撃有無を目的変数とする訓練データを用いて、学習モデルの学習が実行される。つまり、判定対象のIPアドレス間の操作に加えて、その前後のセッションでどのような操作があったかを学習対象とする。
ところが、テンソルデータを用いたニューラルネットワークは、入力データから先の学習では順序関係が保持できない。具体的には、全ての入力データが最終的には学習前にベクトル化され、ベクトル化された後のデータは大小関係があるが、全て同じ扱いになるので、機械学習において一般的にベクトル化された後は順序関係が保持されない。したがって、操作ログの発生順は関係なく、操作ログ1+2+3が攻撃か否かを判定する学習が行われてしまうので、操作ログの発生順に基づいて攻撃か否かを判定することができない。
また、操作時に使用される通信プロトコルによっては、コマンドごとにセッションがばらばらになってしまい、ログが非常に少ないセッションができてしまう事がある。これにより、正常操作、攻撃操作が類似するログになってしまい、1セッションでは判定が難しい場合がある。図4を用いて具体的に説明する。図4は、一般技術では判定が困難な例を説明する図である。
図4の(a)は、攻撃時の一連の操作を示しており、図4の(b)は、正常時の一連の操作を示している。一般的に、ユーザ端末側で操作コマンドが実行されたとしても、すべての操作ログを正確に収集するにはメモリ容量の拡大や解析時間の長時間化等の制限により、全て収集されるわけではない。そのため、操作コマンドは実行されたが、ファイル名の変更なのかもしくはその他の活動なのかを識別できないことがあり、操作ログ上では攻撃か正常な操作か識別が難しい。この性質を使い、攻撃者は攻撃と分かりやすい操作を避けるために、偽装した拡張子やファイル名などで感染拡大用の操作ファイル等を送り込む事も多く、そういった行動自体はただのファイル送信なので見分けにくい。
図4の(a)は、端末s1から端末d0への攻撃操作を示している。具体的には、端末s1は、正常な操作としてよく使用される拡張子などを用いた偽装ファイルを読み書きする。続いて、端末s1は、コマンドを実行し、ファイル名の変更やファイルの読み書きを実行する。この場合、操作ログとして見ると、時刻00:00に端末d0に対して、実行コマンド(Copy)が実行されて、Read/Writeの操作が実行される。続いて、時刻00:15に端末d0に対して、実行コマンド(PSEXEC)が実行されて、認証操作が実行される。その後、時刻00:16や00:17に端末d0に対して、実行コマンド(EXEC)が実行されて、ファイルへのRead/Writeの操作が実行される。
一方、図4の(b)は、端末s1から端末d0への正常操作を示している。具体的には、端末s1は、既存のファイルに対してファイル名変更などの操作コマンドを実行する。続いて、端末s1は、別のログファイルのコピー、ファイルの実行、ファイルの読み書きなどを実行する。この場合、操作ログとして見ると、時刻00:00に端末d0に対して、実行コマンド(PSEXEC)が実行されて、認証操作が実行される。その後、時刻00:15、00:16、00:17の各時刻に端末d0に対して、実行コマンド(EXEC)が実行されて、ファイルへのRead/Writeの操作が実行される。
このように、攻撃操作である図4の(a)の操作ログと、正常操作である図4の(b)の操作ログとを比較すると、攻撃操作では、認証の前にコマンドが実行されているものの、認証の後では同じようにコマンド実行がされている。また、認証前のコマンド実行も、操作ログ上では攻撃操作と判断することが難しい。これらのことから、両者が異なる一連の流れと判断することが難しく、同じ正常な操作の流れと判断されることがある。
そこで、実施例1では、テンソルデータを用いた学習を実行する際に、操作ログの発生順序の関係を考慮するために、順序関係を示すベクトルをグラフ構造データの一例であるコアテンソルとして抽出して、ニューラルネットワークに導入する。このようにすることで、入力データを順序行列化(順序行列データ)して学習する。この結果、順序関係を含む入力データによる学習を実現することができるので、順序関係を考慮した攻撃判定を実行することができる。
なお、実施例1では、2段階の学習を一例として説明する。図5は、実施例1にかかる情報処理装置10による学習例を説明する図である。図5に示すように、情報処理装置10は、1段階として、通常通り、1つの操作ログから攻撃操作か正常操作かを判別する第1の学習モデルを学習する。そして、情報処理装置10は、2段階目として、1段階目では正常操作と判定される操作ログを抽出し、順序関係を考慮した第2の学習モデルを学習する。
例えば、1段階目として、攻撃操作である操作ログ1を用いて第1の学習モデルを学習し、攻撃操作である操作ログ2を用いて第1の学習モデルを学習し、正常操作である操作ログ3を用いて第1の学習モデルを学習する。その後、第1の学習モデルでは正常操作と判定される操作ログ3とその前後の操作ログ2および操作ログ4とを抽出し、これらの操作ログの順序関係を考慮した特徴量(順序行列)を生成し、生成された特徴量を用いて、第2の学習モデルを学習する。
実施例1では、このような学習を行うことにより、第2の学習モデルの対象を絞り込むことができるので、学習時間の短縮化を図ることができる。なお、1段階目の学習を省略して、すべての操作ログを用いて、第2の学習モデルの学習のみを実行することもできる。
[機能構成]
図6は、実施例1にかかる情報処理装置10の機能構成を示す機能ブロック図である。図6に示すように、情報処理装置10は、通信部11、記憶部12、制御部20を有する。
通信部11は、他の装置の間の通信を制御する処理部であり、例えば通信インタフェースなどである。例えば、通信部11は、各サーバ2から操作ログを取得し、学習結果や予測結果などを管理者が使用する端末に送信する。
記憶部12は、データや制御部20が実行するプログラムなどを記憶する記憶装置の一例であり、例えばメモリやハードディスクなどである。この記憶部12は、操作ログD13、第1訓練データDB14、第2訓練データDB15、学習結果DB16を記憶する。
操作ログDB13は、各サーバ2で実行された操作ログを記憶するデータベースである。具体的には、操作ログDB13は、ネットワーク接続中の情報が交換されている時間の単位であり、ある端末からある端末への一連の操作情報を表しているセッション単位で操作ログを記憶する。
図7は、操作ログDB13に記憶される操作ログの一例を示す図である。図7に示すように、操作ログDB13は、「セッションID、送信元、宛先、操作ログ」を対応付けて記憶する。「セッションID」は、セッションを識別する識別子である。「送信元」は、操作ログの実行元を示し、「宛先」は、操作ログの実行先を示す。つまり、送信元は、セッションの接続元であり、宛先は、セッションの接続先である。「操作ログ」は、発生した操作に関するログを示す。また、操作ログに含まれる各項目(セッションID、送信元、宛先、操作ログ)が、操作ログをグラフ構造で表現したときのノードとなる。
図7の例では、送信元(SD1)から宛先(D1)へ接続されたセッション(SD1)において操作ログAが収集されたことを示す。この操作ログAは、「時刻、操作、実行コマンド」が対応付けられた情報である。「時刻」は、コマンドが実行された時刻を示し、「操作」は、コマンドにより操作された内容を示し、「実行コマンド」は、実行されたコマンドを示す。
図7の操作コマンドAは、セッション(SD1)において、時刻「00:00」に、Read/Writeを行うCopyが実行され、時刻「00:05」に、Read/Writeを行うReadが実行され、時刻「00:10」に、Read/Writeを行うWriteが実行されたことを示している。なお、操作コマンドは、高速フォレンジック技術など、公知の手法により収集することができる。
第1訓練データDB14は、1つの操作ログを用いて、攻撃か否かを判定する第1の学習モデルの学習に利用される訓練データを記憶するデータベースである。図8は、第1訓練データDB14に記憶される訓練データの一例を示す図である。図8に示すように、第1訓練データDB14は、「目的変数(ラベル)、説明変数」として「攻撃、操作ログA」や「正常、操作ログC」などを記憶する。
第2訓練データDB15は、複数の操作ログの順序関係を用いて、攻撃か否かを判定する第2の学習モデルの学習に利用される訓練データを記憶するデータベースである。図9は、第2訓練データDB15に記憶される訓練データの一例を示す図である。図9に示すように、第2訓練データDB15は、「目的変数(ラベル)、説明変数」として「攻撃、操作ログE,操作ログF,操作ログG」や「正常、操作ログF,操作ログG,操作ログH」などを記憶する。
ここで説明変数に記憶され操作ログは、その操作ログのみでは正常と判定される操作ログを含む一連の操作ログである。具体的には、この一連の操作ログは、第1の学習モデルでは、「正常」と判定されるある時間帯の操作ログとその前後の操作ログから構成される。例えば、時刻Tの操作ログFが第1の学習モデルでは、「正常」と判定された操作ログである場合、その直前の時刻T−1のセッションに発生した操作ログEと、その直後の時刻T+1のセッションで発生した操作ログFを含む「操作ログE、操作ログF、操作ログG」を訓練データとする。
学習結果DB16は、後述する第1学習部22の学習結果と第2学習部23の学習結果を記憶するデータベースである。例えば、学習結果DB16は、第1学習部22や第2学習部23による学習データの判別結果(分類結果)、機械学習やディープラーニングによって学習された、NNの各種パラメータやディープテンソルの各種パラメータなどを記憶する。
制御部20は、情報処理装置10全体を司る処理部であり、例えばプロセッサなどである。この制御部20は、収集部21、第1学習部22、第2学習部23、判定部27を有する。なお、収集部21、第1学習部22、第2学習部23、判定部27は、プロセッサが有する電子回路の一例やプロセッサが実行するプロセスの一例である。
収集部21は、各サーバ2から操作ログを収集する処理部である。具体的には、収集部21は、各サーバ2で記憶される履歴情報(ログ一覧)などから、セッション単位で操作ログを収集して、操作ログDB13に格納する。例えば、収集部21は、高速フォレンジック技術などを用いて、セッションの抽出、操作コマンドの抽出、送信元や宛先の抽出などを実行する。
第1学習部22は、1つの操作ログを用いて、攻撃か否かを判定する第1の学習モデルを学習する処理部である。具体的には、第1学習部22は、第1訓練データDB14に記憶される各訓練データを用いて、テンソルデータを適用する第1の学習モデルを学習し、学習結果を学習結果DB16に格納する。
ここで、テンソルデータを用いた学習について具体的に説明する。図10は、第1学習部22による学習を説明する図である。図10に示すように、第1学習部22は、攻撃ではない正常操作の教師ラベル(正常)が付された操作ログAから入力テンソルを生成する。そして、第1学習部22は、入力テンソルにテンソル分解を行って、初回にランダムに生成されたターゲットコアテンソルに類似するようにコアテンソルを生成する。そして、第1学習部22は、コアテンソルをニューラルネットワーク(NN:Neural Network)に入力して分類結果(正常:70%、攻撃:30%)を得る。その後、第1学習部22は、分類結果(正常:70%、攻撃:30%)と教師ラベル(正常:100%、攻撃:0%)との分類誤差を算出する。
ここで、第1学習部22は、誤差逆伝搬法を拡張した拡張誤差伝搬法を用いて学習モデルの学習およびテンソル分解の方法の学習を実行する。すなわち、第1学習部22は、NNが有する入力層、中間層、出力層に対して、分類誤差を下層に伝搬させる形で、分類誤差を小さくするようにNNの各種パラメータを修正する。さらに、第1学習部22は、分類誤差をターゲットコアテンソルまで伝搬させ、予測に寄与するグラフの部分構造、すなわち正常操作の特徴を示す特徴パターンもしくは攻撃操作の特徴を示す特徴パターンに近づくように、ターゲットコアテンソルを修正する。
なお、学習後の判定時(予測時)には、テンソル分解により、ターゲットコアテンソルに類似するように、入力テンソルをコアテンソル(入力テンソルの部分パターン)に変換し、コアテンソルをニューラルネットに入力することで、判定結果を得ることができる。
第2学習部23は、行列変換部24、ベクトル抽出部25、学習部26を有し、複数の操作ログの順序関係を用いて、攻撃か否かを判定する第2の学習モデルを学習する処理部である。具体的には、第2学習部23は、第2訓練データDB15に記憶される各訓練データを用いて、テンソルデータを適用する第2の学習モデルを学習し、学習結果を学習結果DB16に格納する。
図11は、第2学習部23による学習を説明する図である。図11に示すように、第2学習部23は、目的変数(正常)が設定された説明変数内の操作ログE、操作ログF、操作ログGそれぞれから入力テンソル(テンソルデータ)を生成する。そして、第2学習部23は、各操作ログの各入力テンソルについて、ターゲットコアテンソルvと類似するようにコアテンソルを生成することで、操作ログEに対応するコアテンソル(X(t−2))、操作ログFに対応するコアテンソル(X(t−1))、操作ログGに対応するコアテンソル(X(t))を生成する。
その後、第2学習部23は、操作ログE、操作ログF、操作ログGの順序関係を考慮するために、各操作ログから生成された各コアテンソルを行列化した順序行列を生成する。ここで、順序行列内の0はゼロ行列を示し、Eは単位行列を示す。そして、第2学習部23は、順序行列に対して、回転不変の固有値を使用した変換処理を行って入力ベクトルを生成する。
そして、第2学習部23は、入力ベクトルをNNに入力し、NNからの出力結果と目的変数との分類誤差を用いた拡張誤差伝搬法を用いて学習モデルの学習およびテンソル分解の方法の学習を実行する。ここで、第2学習部23は、各操作ログからコアテンソルを抽出する際に使用される各ターゲットコアテンソルまで分類誤差を伝搬させ、各ターゲットコアテンソルvを修正する。このようにして、第2学習部23は、各訓練データを用いて、NNのパラメータ更新およびターゲットコアテンソルの最適化を実行して、第2の学習モデルを学習する。
行列変換部24は、入力データをテンソル表現に変換する処理部である。具体的には、行列変換部24は、第2訓練データDB5から訓練データの各操作ログを取得し、各操作ログに対して、行列変換、テンソル分解、テンソルのマージの各処理を実行し、操作ログの順序を特徴量として含んだ順序行列を生成して、ベクトル抽出部25に出力する。
図12は、行列変換を説明する図である。図12に示すように、行列変換部24は、各操作ログE、F、Gの「操作、実行コマンド」を行列に変換することで、入力データのテンソル表現を実現する。例えば、行列変換部24は、「Read/Write」操作であれば「0」、「認証」操作であれば「1」と予め定めた法則にしたがって変換し、同様に、実行コマンド「Copy」操作であれば「0」、実行コマンド「Read」操作であれば「1」など変換する。このようにして、行列変換部24は、各操作ログを2行3列の行列に変換する。
その後、行列変換部24は、各行列から、ターゲットコアテンソルに類似するように、コアテンソルである行列を抽出する。例えば、行列変換部24は、一般的なテンソル分解を実行して、各行列からコアテンソルを生成する。ここでは、行列変換部24は、各操作ログから生成された各2行3列の行列を、2行2列の行列に変換する。
そして、行列変換部24は、各2行2列の行列をマージして、3行12列の順序行列を生成する。ここでは、行列変換部24は、3行12列の順序行列において、1列目の1行目から4行目に操作ログEから生成された行列を設定し、2列目の5行目から8行目に操作ログFから生成された行列を設定し、3列目の9行目から12行目に操作ログGから生成された行列を設定し、その他に0を設定する。このようにして、行列変換部24は、各操作ログの特徴量および操作ログの順序関係の特徴を含んだ、順序行列を生成する。
ベクトル抽出部25は、行列変換部24により生成された順序行列から、ニューラルネットワークに入力するベクトルを抽出する処理部である。図13は、ベクトル抽出を説明する図である。図13に示すように、ベクトル抽出部25は、3行12列の順序行列を行列変換部24から取得し、3行12列の順序行列に特異値分解を行って、固有値ベクトルを抽出する。そして、ベクトル抽出部25は、抽出した固有値ベクトルを学習部26に出力する。
学習部26は、ベクトル抽出部25により抽出された固有値ベクトルを用いた教師有学習により、複数の操作ログの順序関係を用いて、攻撃か否かを判定する第2の学習モデルを学習する。そして、学習部26は、学習が完了すると、学習結果を学習結果DB16に格納する。
例えば、学習部26は、固有値ベクトルの生成元となった訓練データの目的変数(ラベル)を第2訓練データDB15から取得する。そして、学習部26は、第2の学習モデルに用いられるニューラルネットワークの第一層に、固有値ベクトルを入力し、ニューラルネットワークからの出力結果と目的変数との分類誤差に基づき、誤差逆伝搬によりニューラルネットワークを学習する。
また、学習部26は、ニューラルネットワークの第一層の誤差関数のスコアと、特異値分解における左特異行列(左特異ベクトル)および右特異行列(右特異ベクトル)とを用いて、逆変換を実行する。そして、学習部26は、逆変換後の行列のインデックスを元に、各操作ログから生成される各入力テンソルへ逆変換を行い、逆変換後の各入力テンソルと各ターゲットコアテンソルが類似するように、各ターゲットコアテンソルを更新する。
判定部27は、学習結果を用いて、攻撃か否かを判定する処理部である。例えば、判定部27は、学習結果DB16に記憶される第1の学習モデルの学習結果と第2の学習モデルの学習結果とを読み出し、第1の学習モデルと第2の学習モデルとを構築する。
そして、判定部27は、判定対象の操作ログを取得し、第1の学習モデルのターゲットコアテンソルと類似するように、操作ログからコアテンソルを生成して、第1の学習モデル(NN)に入力する。その後、判定部27は、第1の学習モデル(NN)の出力結果が「攻撃」の場合には、当該操作ログを攻撃操作と判定して、管理者の端末に送信したり、ディスプレイ等に表示したりする。
一方、判定部27は、第1の学習モデルの出力結果が「正常」の場合には、第2の学習モデルによる判定を行う。具体的には、判定部27は、当該操作ログの前後の操作ログを取得し、学習時と同様の手法により、固有値ベクトルを生成する。例えば、判定部27は、各操作ログから入力テンソルを生成し、各入力テンソルからコアテンソルを生成し、各コアテンソルをマージした順序行列を生成する。そして、判定部27は、順序行列に特異値分解を行って、固有値ベクトルを生成し、固有値ベクトルを第2の学習モデル(NN)に入力する。
その後、判定部27は、第2の学習モデル(NN)の出力結果が「攻撃」の場合には、当該操作ログを攻撃操作と判定して、第2の学習モデル(NN)の出力結果が「正常」の場合には、当該操作ログを攻撃操作と判定して、判定結果を、管理者の端末に送信したり、ディスプレイ等に表示したりする。
[学習処理の流れ]
図14は、学習処理の流れを示すフローチャートである。なお、ここでは、第1の学習モデルの学習後に第2の学習モデルを学習する例を説明するが、これに限定されるものではなく、別々のタイミングで実行することもできる。
図14に示すように、第1学習部22は、管理者等により第1学習処理の開始が指示されると(S101:Yes)、第1訓練データDB14から訓練データを読み出し(S102)、テンソル分解を実行して入力テンソルを生成する(S103)。
続いて、第1学習部22は、入力テンソルからコアテンソルを生成して(S104)、第1の学習モデルのNNの学習を実行する(S105)。そして、第1学習部22は、学習を継続する場合(S106:No)、S102以降を繰り返す。一方、学習を終了する場合(S106:Yes)、S107以降が実行される。
具体的には、第2学習部23は、第2訓練データDB15から訓練データを読み込み(S107)、訓練データ内の各操作ログをテンソル分解して入力テンソル(行列)を生成する(S108)。
続いて、第2学習部23は、各入力テンソルからコアテンソルを生成し、各コアテンソルをマージして順序行列を生成する(S109)。そして、第2学習部23は、順序行列に特異値分解を実行し(S110)、特異値分解後の固有値ベクトルをNNの第一層に入力(割当)して(S111)、誤差逆伝搬によりNNの学習を実行する(S112)。
その後、第2学習部23は、第一層の誤差関数のスコアと、左特異行列および右特異行列とを用いて逆変換を実行し(S113)、逆変換後の行列を用いてターゲットコアテンソルを更新する(S114)。
そして、第2学習部23は、学習を継続する場合(S115:No)、S107以降を繰り返し、学習を終了する場合(S115:Yes)、処理を終了する。
[判定処理の流れ]
図15は、判定処理の流れを示すフローチャートである。図15に示すように、判定部27は、判定処理が開始されると(S201:Yes)、判定対象の操作ログを取得する
(S202)。
続いて、判定部27は、テンソル分解を実行して、操作ログから入力テンソルを生成し(S203)、入力テンソルからコアテンソルを生成する(S204)。そして、判定部27は、コアテンソルを学習済みの第1の学習モデルに入力し(S205)、出力結果が攻撃である場合(S206:Yes)、当該操作ログを攻撃操作と判定する(S207)。
一方、判定部27は、第1の学習モデルの出力結果が正常である場合(S206:No)、判定対象の操作ログの前後の操作ログを取得し(S208)、テンソル分解を実行して各操作ログから各入力テンソルを生成する(S209)。
そして、判定部27は、各入力テンソルからコアテンソルを生成し(S210)、各コアテンソルを用いて順序行列を生成し(S211)、順序行列に特異値分解を行って、固有値ベクトルを生成する(S212)。
その後、判定部27は、固有値ベクトルを学習済みの第2の学習モデルに入力する(S213)。そして、判定部27は、第2の学習モデルの出力結果が攻撃である場合(S214:Yes)、攻撃操作と判定し(S215)、第2の学習モデルの出力結果が正常である場合(S214:No)、正常操作と判定する(S216)。
[効果]
上述したように、情報処理装置10は、順序関係を考慮した固有値ベクトル(入力ベクトル)により第2の学習モデルを学習することができるので、順序関係を考慮した攻撃判定を実行することができ、判別対象の操作ログの前後関係を元に攻撃か否かを判定することができる。
また、情報処理装置10は、学習時に、1つの操作ログから攻撃と判定されない操作ログのみを第2の学習モデルの訓練データに使用するので、全操作ログを訓練対象とする場合に比べて、学習精度の低下を抑制しつつ、学習時間を短縮することができる。また、情報処理装置10は、判定時に、第1の学習モデルと第2の学習モデルとを用いて段階的な判定を実行することができるので、迅速な攻撃検知と漏れのない攻撃検知とを両立することができる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。
[データや数値等]
上記実施例で用いたデータ例、数値例、表示例、行列例、行列の次元等は、あくまで一例であり、任意に変更することができる。また、第1学習部22と第2学習部23と判定部27とを別々の装置で実現することもできる。なお、上記実施例では、3つの操作ログを一連の操作ログとして訓練データに用いる例を説明したが、2つ以上であれば任意に変更することができる。
[関連付け]
実施例1では、一連の操作ログの操作先(攻撃対象)が同一のコンピュータの場合を一例として説明したが、これに限定されるものではなく、攻撃先が異なる場合でも、それらを関連付けられる場合は、実施例1と同様の手法により処理することができる。例えば、端末s1からサーバd1へ接続されたセッションで操作が実行された後から、10分などの所定時間内に同じ端末s1からサーバd2へ接続されたセッション内の操作を一連の操作と判定することもできる。
[学習モデル]
上記実施例では、学習モデルとして、ニューラルネットワークを用いた例を説明したが、これに限定されるものではなく、RNN(Recurrent Neural Network)など他の機械学習を採用することもできる。
[システム]
上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散や統合の具体的形態は図示のものに限られない。つまり、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[ハードウェア]
図16は、ハードウェア構成例を説明する図である。図16に示すように、情報処理装置10は、通信装置10a、HDD(Hard Disk Drive)10b、メモリ10c、プロセッサ10dを有する。また、図16に示した各部は、バス等で相互に接続される。
通信装置10aは、ネットワークインタフェースカードなどであり、他の装置との通信を行う。HDD10bは、図6に示した機能を動作させるプログラムやDBを記憶する。
プロセッサ10dは、図2に示した各処理部と同様の処理を実行するプログラムをHDD10b等から読み出してメモリ10cに展開することで、図2等で説明した各機能を実行するプロセスを動作させる。例えば、このプロセスは、情報処理装置10が有する各処理部と同様の機能を実行する。具体的には、プロセッサ10dは、収集部21、第1学習部22、第2学習部23、判定部27等と同様の機能を有するプログラムをHDD10b等から読み出す。そして、プロセッサ10dは、収集部21、第1学習部22、第2学習部23、判定部27等と同様の処理を実行するプロセスを実行する。
このように、情報処理装置10は、プログラムを読み出して実行することで学習方法を実行する情報処理装置として動作する。また、情報処理装置10は、媒体読取装置によって記録媒体から上記プログラムを読み出し、読み出された上記プログラムを実行することで上記した実施例と同様の機能を実現することもできる。なお、この他の実施例でいうプログラムは、情報処理装置10によって実行されることに限定されるものではない。例えば、他のコンピュータまたはサーバがプログラムを実行する場合や、これらが協働してプログラムを実行するような場合にも、本発明を同様に適用することができる。
10 情報処理装置
11 通信部
12 記憶部
13 操作ログDB
14 第1訓練データDB
15 第2訓練データDB
16 学習結果DB
20 制御部
21 収集部
22 第1学習部
23 第2学習部
24 行列変換部
25 ベクトル抽出部
26 学習部
27 判定部

Claims (8)

  1. コンピュータに、
    第1の装置から第2の装置に対する特定の操作ログ、および前記特定の操作ログの前後の前記第1の装置から前記第2の装置に対する操作ログを含む複数の操作ログと、前記第1の装置から前記第2の装置に対する攻撃の有無を示す正解情報とが関連付けられた訓練データを取得し、
    前記複数の操作ログそれぞれに対応した複数のグラフ構造データを成分に含み、前記特定の操作ログおよび前記特定の操作ログの前後の操作ログの順序関係を成分に含む順序行列データを生成し、
    前記順序行列データをニューラルネットワークに入力することで、前記訓練データに基づく学習モデルの学習を実行する、
    処理を実行させることを特徴とする情報処理プログラム。
  2. 前記実行する処理は、前記順序行列データに特異値分解を実行して得られる固有値ベクトルを前記ニューラルネットワークに入力し、前記ニューラルネットワークからの出力結果と前記正解情報との差分に基づいて、前記学習モデルを学習することを特徴とする請求項1に記載の情報処理プログラム。
  3. 前記第1の装置から前記第2の装置への通信セッションごとに、前記操作ログを収集する処理を、前記コンピュータに実行させ、
    前記取得する処理は、前記特定の操作ログが収集された第1のセッションの前に接続された第2のセッションで発生した操作ログおよび前記第1のセッションの後に接続された第3のセッションで発生した操作ログを、前記特定の操作ログの前後の操作ログとして取得することを特徴とする請求項1または2に記載の情報処理プログラム。
  4. 前記生成する処理は、前記特定の操作ログの前の操作ログから生成される第1のグラフ構造データ、前記特定の操作ログから生成される第2のグラフ構造データ、前記特定の操作ログの後の操作ログから生成される第3のグラフ構造データのそれぞれを各要素として対角線に配置し、他の要素にゼロ行列または単位行列を配置した前記順序行列データを生成することを特徴とする請求項1から3のいずれか一つに記載の情報処理プログラム。
  5. 判定対象の操作ログと、前記判定対象の操作ログの前後のセッションで発生した前後の操作ログとを含む複数の判定対象ログを取得し、
    前記複数の判定対象ログそれぞれに対応した複数のグラフ構造データを用いて、前記順序行列データを生成し、
    学習済みの学習モデルに前記順序行列データを入力して得られる出力結果に基づいて、前記複数の判定対象ログが攻撃か否かを判定する、処理をコンピュータに実行させることを特徴とする請求項1から4のいずれか一つに記載の情報処理プログラム。
  6. 前記第1の装置から前記第2の装置に対する各操作ログと、各操作ログが攻撃に該当するか否かを示す正解情報とが関連付けられた訓練データを用いて、操作ログから攻撃の有無を判定する第2の学習モデルを学習し、
    前記判定対象の操作ログを前記第2の学習モデルに入力して得られる出力結果により前記攻撃か否かを判定する、処理をコンピュータに実行させ、
    前記判定する処理は、前記第2の学習モデルの出力結果に基づき前記攻撃ではないと判定された場合に、前記複数の操作ログを用いて学習された第1の学習モデルに、前記判定対象の操作ログを含む前記複数の判定対象ログを用いて生成された前記順序行列データを入力し、前記第1の学習モデルからの出力結果に基づいて、前記攻撃か否かを判定することを特徴とする請求項5に記載の情報処理プログラム。
  7. コンピュータが、
    第1の装置から第2の装置に対する特定の操作ログ、および前記特定の操作ログの前後の前記第1の装置から前記第2の装置に対する操作ログを含む複数の操作ログと、前記第1の装置から前記第2の装置に対する攻撃の有無を示す正解情報とが関連付けられた訓練データを取得し、
    前記複数の操作ログそれぞれに対応した複数のグラフ構造データを成分に含み、前記特定の操作ログおよび前記特定の操作ログの前後の操作ログの順序関係を成分に含む順序行列データを生成し、
    前記順序行列データをニューラルネットワークに入力することで、前記訓練データに基づく学習モデルの学習を実行する、
    処理を実行することを特徴とする情報処理方法。
  8. 第1の装置から第2の装置に対する特定の操作ログ、および前記特定の操作ログの前後の前記第1の装置から前記第2の装置に対する操作ログを含む複数の操作ログと、前記第1の装置から前記第2の装置に対する攻撃の有無を示す正解情報とが関連付けられた訓練データを取得する取得部と、
    前記複数の操作ログそれぞれに対応した複数のグラフ構造データを成分に含み、前記特定の操作ログおよび前記特定の操作ログの前後の操作ログの順序関係を成分に含む順序行列データを生成する生成部と、
    前記順序行列データをニューラルネットワークに入力することで、前記訓練データに基づく学習モデルの学習を実行する実行部と、
    を有することを特徴とする情報処理装置。
JP2019129389A 2019-07-11 2019-07-11 情報処理プログラム、情報処理方法および情報処理装置 Pending JP2021015421A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019129389A JP2021015421A (ja) 2019-07-11 2019-07-11 情報処理プログラム、情報処理方法および情報処理装置
US16/921,647 US20210012001A1 (en) 2019-07-11 2020-07-06 Storage medium, information processing method, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019129389A JP2021015421A (ja) 2019-07-11 2019-07-11 情報処理プログラム、情報処理方法および情報処理装置

Publications (1)

Publication Number Publication Date
JP2021015421A true JP2021015421A (ja) 2021-02-12

Family

ID=74101906

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019129389A Pending JP2021015421A (ja) 2019-07-11 2019-07-11 情報処理プログラム、情報処理方法および情報処理装置

Country Status (2)

Country Link
US (1) US20210012001A1 (ja)
JP (1) JP2021015421A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11914709B2 (en) * 2021-07-20 2024-02-27 Bank Of America Corporation Hybrid machine learning and knowledge graph approach for estimating and mitigating the spread of malicious software

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018523885A (ja) * 2015-07-27 2018-08-23 ピヴォタル・ソフトウェア・インコーポレーテッド ユーザ挙動を異常として分類すること
WO2018235252A1 (ja) * 2017-06-23 2018-12-27 日本電気株式会社 分析装置、ログの分析方法及び記録媒体
US20190149565A1 (en) * 2017-11-13 2019-05-16 International Business Machines Corporation Anomaly detection using cognitive computing

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8683546B2 (en) * 2009-01-26 2014-03-25 Microsoft Corporation Managing security configuration through machine learning, combinatorial optimization and attack graphs
EP3486809A4 (en) * 2016-10-03 2019-12-25 Nippon Telegraph and Telephone Corporation CLASSIFICATION DEVICE, METHOD AND PROGRAM
US20180330275A1 (en) * 2017-05-09 2018-11-15 Microsoft Technology Licensing, Llc Resource-efficient machine learning
US11106976B2 (en) * 2017-08-19 2021-08-31 Wave Computing, Inc. Neural network output layer for machine learning
US11108809B2 (en) * 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US10938838B2 (en) * 2018-08-31 2021-03-02 Sophos Limited Computer augmented threat evaluation
WO2020193333A1 (en) * 2019-03-27 2020-10-01 British Telecommunications Public Limited Company Computer security
US11818145B2 (en) * 2019-12-09 2023-11-14 International Business Machines Corporation Characterizing user behavior in a computer system by automated learning of intention embedded in a system-generated event graph
US11544527B2 (en) * 2020-02-06 2023-01-03 International Business Machines Corporation Fuzzy cyber detection pattern matching

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018523885A (ja) * 2015-07-27 2018-08-23 ピヴォタル・ソフトウェア・インコーポレーテッド ユーザ挙動を異常として分類すること
WO2018235252A1 (ja) * 2017-06-23 2018-12-27 日本電気株式会社 分析装置、ログの分析方法及び記録媒体
US20190149565A1 (en) * 2017-11-13 2019-05-16 International Business Machines Corporation Anomaly detection using cognitive computing

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
西野 琢也: "テンソル分解に基づくグラフ分類による組織内ネットワーク攻撃活動検知", CSS2017 コンピュータセキュリティシンポジウム2017 論文集, vol. 2017, no. 2, JPN6023001060, 16 October 2017 (2017-10-16), JP, ISSN: 0005097901 *

Also Published As

Publication number Publication date
US20210012001A1 (en) 2021-01-14

Similar Documents

Publication Publication Date Title
CN108156131B (zh) Webshell检测方法、电子设备和计算机存储介质
TW201931187A (zh) 統一資源定位符(url)攻擊檢測方法、裝置及電子設備
CN116647411B (zh) 游戏平台网络安全的监测预警方法
CN112199652B (zh) 应用程序的登录方法、终端、服务器、系统、介质和设备
US10764311B2 (en) Unsupervised classification of web traffic users
Liu et al. D2MIF: A malicious model detection mechanism for federated learning empowered artificial intelligence of things
CN110162994A (zh) 权限控制方法、系统、电子设备及计算机可读存储介质
CN110874638B (zh) 面向行为分析的元知识联邦方法、装置、电子设备及系统
CN110572302B (zh) 无盘局域网场景识别方法、装置及终端
Chatterjee et al. Deep reinforcement learning for detecting malicious websites
Evans et al. RAIDER: Reinforcement-aided spear phishing detector
CN113158192B (zh) 抗检测在线社交网络虚拟用户批量构建与管理方法及系统
JP2021015421A (ja) 情報処理プログラム、情報処理方法および情報処理装置
WO2022011233A1 (en) Dataset-aware and invariant learning for face recognition
CN116089920A (zh) 一种敏感字段预警方法、系统、计算机设备及介质
Zhou et al. NIDD: an intelligent network intrusion detection model for nursing homes
JP2023154373A (ja) 情報処理装置
Wang et al. Analysis of multi-attribute user authentication to against man-in-the-room attack in virtual reality
RU2745362C1 (ru) Система и способ формирования индивидуального содержимого для пользователя сервиса
CN112765606A (zh) 恶意代码同源性分析方法和装置及设备
Bharadwaj et al. Reliable human authentication using AI-based multibiometric image sensor fusion: Assessment of performance in information security
JP7044729B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
Mohammed et al. Intelligent Detection Technique for Malicious Websites Based on Deep Neural Network Classifier
CN113055334B (zh) 终端用户的网络行为的监管方法和装置
KR102092683B1 (ko) 퍼지 로직에 기반하여 사용자의 훈련도를 평가하는 장치 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220407

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230117

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230704