JP2022064203A - 情報分析装置及び情報分析方法 - Google Patents

情報分析装置及び情報分析方法 Download PDF

Info

Publication number
JP2022064203A
JP2022064203A JP2020172800A JP2020172800A JP2022064203A JP 2022064203 A JP2022064203 A JP 2022064203A JP 2020172800 A JP2020172800 A JP 2020172800A JP 2020172800 A JP2020172800 A JP 2020172800A JP 2022064203 A JP2022064203 A JP 2022064203A
Authority
JP
Japan
Prior art keywords
information
security
index
threat
phrase
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020172800A
Other languages
English (en)
Inventor
侑 津田
Yu Tsuda
大介 井上
Daisuke Inoue
宏栄 鈴木
Koei Suzuki
毅也 井野
Takeya Ino
彌一郎 高木
Yaichiro Takagi
秀一 田中
Shuichi Tanaka
延幸 金谷
Nobuyuki Kanetani
貴弘 笠間
Takahiro Kasama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Information and Communications Technology
Original Assignee
National Institute of Information and Communications Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Information and Communications Technology filed Critical National Institute of Information and Communications Technology
Priority to JP2020172800A priority Critical patent/JP2022064203A/ja
Publication of JP2022064203A publication Critical patent/JP2022064203A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供する。【解決手段】セキュリティに関しての脅威の分析結果を生成する情報分析装置1において、セキュリティ関連情報を受信するパブリッシャーメッセージ受信部5と、脅威情報からセキュリティ関連情報を検索するための索引情報を生成し、索引情報と紐づけられた脅威情報の実体情報をデータベース記憶部8に投入する前処理部6と、実体情報に対して、紐づけられていない他の索引情報を、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する横断分析部7と、分析結果情報を、使用者端末へと送信するサブスクライバー送受信部9と、を備える。【選択図】図1

Description

本発明の実施の形態は、情報分析装置及び情報分析方法に関する。
例えば特許文献1には、情報源からサイバーセキュリティ関連の情報の収集し、収集された情報をデータベースに蓄積し、蓄積された情報を分析するような一連の処理を一貫して行うようなモノリシックな設計による技術が記載されている。分析とは例えば、IoC(Indicator of Compromise)間のつながりや複数のIoCからなるクラスタから意味を見出すことや、自然言語で記載されたサイバーセキュリティ関連の記事からIoC間の関連性をモデル化することを指す。
伊藤大貫,永井達也,野村健太,近藤秀紀,神薗雅紀,白石善明,古本啓祐,瀧田槇,毛利公美,高野秦洋,森井昌克.スレットインテリジェンスのためのダイヤモンドモデルに基づく脅威情報分析システム.電子情報通信学会論文誌,Vol.J101-D,No.10,pp.1427-1437,2018
しかしながら特許文献1に記載されたような従来の手法は、分析の結果に自然言語が紐づいておらず、使用者にとって分かりにくいという課題がある。また特許文献1に記載されたような従来の手法は、サイバーセキュリティ関連の情報を蓄積したデータベースの検索速度については考慮されておらず、データベースに蓄積された情報が肥大化した際には検索速度が低下しやすくなる可能性があるという課題がある。さらに特許文献1に記載されたような従来の手法は、モノリシックな設計を用いているため、拡張性や柔軟性が確保されにくく、処理を改良する場合にコストが高くなりやすいという課題がある。
本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することを目的とする。
脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置であって、セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する横断分析部と、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、を備える、情報分析装置を提供する。
脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置によって実行される情報分析方法であって、セキュリティ関連情報を受信する第1のステップと、脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第2のステップと、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する第3のステップと、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第4のステップと、を備える、情報分析方法を提供する。
本発明の実施の形態の一態様によれば使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を実現できる。
図1は、本実施の形態による情報分析装置を含む情報分析システムの構成を示すブロック図である。 図2は、本実施の形態による情報分析装置に記憶されるキーバリューデータベースの概要を示す図である。 図3は、本実施の形態による情報分析装置に記憶されるキーバリューデータベースのデータ構造の概念を示す図である。 図4は、本実施の形態による情報分析装置によって使用者端末に表示される画面を示す。 図5は、情報分析処理の処理手順を示すフローチャートである。
以下図面を用いて、本発明の実施の形態の一態様を詳述する。
図1は、本実施の形態による情報分析装置1を含む情報分析システムの構成を示すブロック図である。情報分析システムは、情報分析装置1と、脅威観測装置2と、利用例列挙装置3と、使用者端末4とを備える。
図1に示す情報分析システムにおいて、情報分析装置1は、脅威観測装置2から送信されるセキュリティに関しての脅威を観測した情報である脅威情報(以下、これをIoCと呼んでもよい)と、利用例列挙装置3から送信されるセキュリティに関しての脅威の利用例の情報である利用例情報と、を受信する。
脅威情報と、利用例情報とを含むセキュリティに関する情報をセキュリティ関連情報と呼んでもよいものとする。情報分析装置1は、セキュリティ関連情報を受信すると、セキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成して、使用者端末4へと送信する。
脅威観測装置2は、1又は複数であって、例えば正規の通信を行わずに不正アクセスを受ける装置であるハニーポット装置やダークネットと呼ばれる未使用のIPアドレスを観測する装置であるダークネット観測装置などとする。
例えばハニーポット装置は、IPアドレスやファイルのハッシュ値を含む脅威情報を情報分析装置1に送信する。また例えばダークネット観測装置は、IPアドレスやドメイン名を含む脅威情報を情報分析装置1に送信する。
利用例列挙装置3は、1又は複数であって、例えばMITREが戦術や手法にまとめられ、少数のマトリックスだけでなくSTIX(Structured Threat Informtion eXpression)/TAXII(Trusted Automated eXchange of Indicator Information)でも表現された既知の攻撃者の行動の構造化されたリストであるATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)を提供する装置であるATT&CK提供装置が挙げられる。
また利用例列挙装置3として、記事の内容をRSSフィードから取得し、取得した記事の内容から自然言語によって記載された語句を抽出して提供する装置である記事抽出語句提供装置が挙げられる。
なお利用例情報は、脅威情報を含んでいるものとし、例えばATT&CK提供装置や記事抽出語句提供装置が情報分析装置1に送信する利用例情報には、IPアドレスやドメイン名やファイルのハッシュ値が含まれているものとする。
使用者端末4は、1又は複数であって、情報分析装置1を使用してセキュリティ関連情報を分析する使用者が使用する端末であって、パーソナルコンピュータやタブレット端末やスマートフォンなどとする。なお使用者端末4は、脅威情報を集約したり集積したりする装置である脅威情報プラットフォーム提供装置や、セキュリティ関連情報を提供したりプログラム内で発生した動作や出来事であるイベントを管理したりするSIEM(Security Information and Event Management)装置であってもよい。
情報分析装置1は、パブリッシャーメッセージ受信部5と、前処理部6と、横断分析部7と、データベース記憶部8と、サブスクライバー送受信部9と、を備える。パブリッシャーメッセージ受信部5は、情報分析装置1にパブリッシャーである脅威観測装置2や利用例列挙装置3からのセキュリティ関連情報を受信する。セキュリティ関連情報が発行される都度ごとにパブリッシャーメッセージ受信部5はセキュリティ関連情報を受信する。
前処理部6は、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成する索引情報生成部10と、索引情報と紐づけられた脅威情報である実体情報をデータベース記憶部8に投入する実体情報投入部11と、を備える。
横断分析部7は、関連抽出部12と、意味付け部13と、を備える。関連抽出部12は、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する。意味付け部13は、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する。
データベース記憶部8は、検索キーに値が紐づいたデータベースであるキーバリュー型データベースのキーバリューデータベースDB1を記憶する。キーバリューデータベースDB1においては、検索キーによって値が検索される。
サブスクライバー送受信部9は、サブスクライバーである使用者端末4に分析結果情報を送信する。なおサブスクライバー送受信部9は、使用者端末4から分析結果取得要求に含まれる要求された索引情報に関係する情報を要求された順序で送信してもよい。例えばパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は集積回路とする。
次に図2を用いてキーバリューデータベースDB1の概要について説明する。図2は、本実施の形態による情報分析装置1に記憶されるキーバリューデータベースDB1の概要を示す図である。キーバリューデータベースDB1は、キーバリューデータベースDB11~DB18を含む。
図2に示すように、検索キーは、1又は複数の索引情報及び語句情報の少なくとも1つから構成され並び順に処理される。また図2に示すように検索キーには具体値と総称値があり、検索キーは具体値の場合、複数種類の索引情報及び語句情報の間を紐づける。なお検索キーが総称値のみからなる場合、検索キーは目次の役割をするものとする。
例えば検索キーが「cure:pub:ip-index」の場合のキーバリューデータベースDB11においては、検索キーは、「cure」、「pub」、「ip-index」といった総称値のみからなる。総称値のみからなる検索キーと結びつく値は目次の役割をする。なお検索キーが「cure:pub:ip-index」の場合、値は「203.0.113.1」などといったIPアドレスとなる。
例えば検索キーが「cure:pub:ip:203.0.113.1」の場合のキーバリューデータベースDB12においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」といった総称値と「203.0.113.1」といった具体値からなる。
検索キーが「cure:pub:ip:203.0.113.1」の場合、値は「timestamp:159356923,publisher_id:300,dst_ip:”203.0.113.1”,dst_port:443,…,content:”Suspicious File Download”」といった実体情報となる。IPアドレスの具体値である「203.0.113.1」が実体情報に結び付けられた索引情報となる。
例えば検索キーが「cure:pub:ip:203.0.113.1:domain」の場合のキーバリューデータベースDB13においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、ドメイン名を示す「domain」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスの具体値である「203.0.113.1」が索引情報であるIPアドレスと索引情報であるドメイン名との間を紐づける。
検索キーが「cure:pub:ip:203.0.113.1:domain」の場合、値は「www.example.net」といったドメイン名の具体値となる。IPアドレスの具体値である「203.0.113.1」がドメイン名の具体値に結び付けられた索引情報となる。
例えば検索キーが「cure:pub:ip:203.0.113.1:file」の場合のキーバリューデータベースDB14においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、ファイルのハッシュ値を示す「file」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスの具体値である「203.0.113.1」が索引情報であるIPアドレスと索引情報であるファイルのハッシュ値との間を紐づける。
検索キーが「cure:pub:ip:203.0.113.1:file」の場合、値は「73336a8e9ea4345084c903336be41264」といったファイルのハッシュ値の具体値となる。IPアドレスの具体値である「203.0.113.1」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。
例えば検索キーが「cure:pub:ip:203.0.113.1:tag」の場合のキーバリューデータベースDB15においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、語句情報を示す「tag」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスである「203.0.113.1」が索引情報であるIPアドレスと語句情報との間を紐づける。
検索キーが「cure:pub:ip:203.0.113.1:tag」の場合、値は「Group123」といった語句情報の具体値となる。IPアドレスの具体値である「203.0.113.1」が語句情報の具体値に結び付けられた索引情報となる。なおより分かりやすい例としては、語句情報の具体値として、「WannaCry」や「Ransomeware」などが挙げられる。
例えば検索キーが「cure:pub:tag:Group123:ip」の場合のキーバリューデータベースDB16においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、IPアドレスを示す「ip」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるIPアドレスとの間を紐づける。
検索キーが「cure:pub:tag:Group123:ip」の場合、値は「203.0.113.1」といったIPアドレスの具体値となる。語句情報の具体値である「Group123」がIPアドレスの具体値に結び付けられた索引情報となる。
例えば検索キーが「cure:pub:tag:Group123:domain」の場合のキーバリューデータベースDB17においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、ドメイン名を示す「domain」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるドメイン名との間を紐づける。
検索キーが「cure:pub:tag:Group123:domain」の場合、値は「www.example.org」といったドメイン名の具体値となる。語句情報の具体値である「Group123」がドメイン名の具体値に結び付けられた索引情報となる。
例えば検索キーが「cure:pub:tag:Group123:file」の場合のキーバリューデータベースDB18においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、ファイルのハッシュ値を示す「file」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるファイルのハッシュ値との間を紐づける。
検索キーが「cure:pub:tag:Group123:file」の場合、値は「73336a8e9ea4345084c903336be41264」といったファイルのハッシュ値の具体値となる。語句情報の具体値である「Group123」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。
次に図3を用いてキーバリューデータベースDB1のデータ構造について説明する。図3は、本実施の形態による情報分析装置1に記憶されるキーバリューデータベースDB1のデータ構造の概念を示す図である。図3に示すようにキーバリューデータベースDB1は、階層構造を有しており、例えば最上位階層は、索引情報によって紐づけられ、最下位階層は語句情報によって紐づけられる。
具体的には、最上位階層である第1の階層は、キーバリューデータベースDB11であって、第2の階層は、キーバリューデータベースDB12,DB13,DB15であって、最下位階層である第3の階層は、キーバリューデータベースDB16,DB17,DB18である。
第1の階層及び第2の階層は、IPアドレスの具体値である「203.0.113.1」によって紐づいており、第2の階層及び第3の階層は、語句情報の具体値である「Group123」によって紐づいている。
次に図4を用いて使用者端末4に表示される画面20について説明する。図4は、本実施の形態による情報分析装置1によって使用者端末4に表示される画面20を示す。図4に示すように、画面20は例えばJSON(JavaScript Object Notation)形式のAPI(Application Programming Interface)及びウェブユーザインタフェースを備える。
画面20には使用者の利用ケースに合わせて適宜情報が表示される。画面20には、IPアドレスと語句情報が表示されている。使用者端末4に自然言語による語句が表示される情報が送信されているため、画面20には語句情報が表示されている。
画面20の詳細について説明を行う。画面20は、領域21~30を含む。領域21には、分析の対象となっているIPアドレスが表示される。領域22には、分析の対象とする種別を選択するための選択肢が表示される。領域23には、分析の対象がどこの地域のものであるかが表示される。
領域24には、語句情報が表示される。領域25には索引情報又は語句情報がパブリッシャーから最後に発行された年月日時分秒が表示される。領域26には情報分析装置1以外の他の情報源へのリンク情報が表示される。
領域27には、どのパブリッシャーからの情報を情報分析装置1がいつ受信したかの情報が表示される。領域28には、所定の期間内に情報分析装置1が受信した情報の発行元である全てのパブリッシャーに対するそれぞれのパブリッシャーの割合に関する情報が表示される。領域29には所定の期間内に情報分析装置1が受信した情報の詳細が表示される。領域30には情報分析装置1が扱う全ての索引情報及び語句情報が表示される。
次に図5を用いて情報分析装置1が行う情報分析処理について説明する。図5は、輻輳制御処理の処理手順を示すフローチャートである。パブリッシャーがセキュリティ関連情報を発行すると、パブリッシャーメッセージ受信部5は、セキュリティ関連情報を受信する(S1)。
次に索引情報生成部10は、例えばキーバリューデータベースDB11のような索引情報を生成する(S2)。次に実体情報投入部11は、キーバリューデータベースDB12のような実体情報をデータベース記憶部8に投入する(S3)。
次に関連抽出部12は、例えばキーバリューデータベースDB13のように実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する(S4)。次に意味付け部13は、例えばキーバリューデータベースDB15~18のように意味付けを行う(S5)。次にサブスクライバー送受信部は、サブスクライバーから受信する分析結果取得要求に応じてサブスクライバーに分析結果情報を送信する(S6)。
以上のように本実施の形態による情報分析装置1は、例えば語句情報が画面20に表示されるため使用者にとって情報分析装置1による分析の結果がわかりやすくなる。また本実施の形態による情報分析装置1においては、パブリッシャーによってセキュリティ関連情報を発行しサブスクライバーによって分析の結果を受信する(以下、これを購読と呼んでもよい)というパブリッシャーサブスクライバーモデルを利用している。
本実施の形態において情報分析装置1は、パブリッシャーサブスクライバーモデルを利用しているため、脅威観測装置2や利用例列挙装置3といったパブリッシャーを追加することで新しい利用例を追加するなどといった機能の拡張が容易にできる。
例えば、使用者端末4としてのSIEM装置や脅威情報プラットフォーム提供装置は、受信した分析結果情報をもとに脅威観測装置2や利用例列挙装置3として情報分析装置にセキュリティ関連情報を送信することもできる。このようにすることで情報分析装置1は機能の拡張が容易になる。
また本実施の形態において情報分析装置1は、キーバリュー型データベースを利用しているため、完全一致の場合の検索性能は、計算量オーダーで示すとO(1)となり、部分一致の場合の検索性能は、計算量オーダーで示すとO(N)となるため、検索速度が低下しにくい。
Nは、検索情報の総数と、語句情報を足した数で、本実施の形態においては、検索情報がIPアドレス、ドメイン名及びファイルハッシュ値の3つであるため、4とする。意味付けも拡張できる。
また上述の実施の形態においては、検索情報はIPアドレス、ドメイン名及びファイルハッシュ値の3つの場合について述べたが、これに限らない。例えば検索情報にメールアドレスが追加されてもよい。
以上のように本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することが可能となる。
上述の実施の形態においてはパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9が集積回路の場合について述べたが、本実施の形態はこれに限らない。パブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は例えばサーバなどに記憶されたプログラムによって実装されてもよい。
またパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は、1つの装置に実装されず、例えばネットワークで接続された複数の装置に分散して実装されていてもよい。
1……情報分析装置、2……脅威観測装置、3……利用例列挙装置、4……使用者端末、5……パブリッシャーメッセージ受信部、6……前処理部、7……横断分析部、8……データベース記憶部、9……サブスクライバー送受信部。

Claims (5)

  1. 脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、前記セキュリティに関しての脅威の利用例の情報である利用例情報と、を含む前記セキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置であって、
    前記セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、
    前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、
    前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する横断分析部と、
    前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、
    を備える、情報分析装置。
  2. 前記検索キーは、1又は複数の前記索引情報及び前記語句情報の少なくとも1つから構成され並び順に処理され、前記検索キーには具体値と総称値があり、前記検索キーは具体値の場合、複数種類の前記索引情報及び前記語句情報の間を紐づける、
    請求項1に記載の情報分析装置。
  3. 前記分析結果情報は、階層構造を有しており、最上位階層は、前記索引情報によって紐づけられ、最下位階層は前記語句情報によって紐づけられる、
    請求項1に記載の情報分析装置。
  4. 前記サブスクライバー送受信部は、前記使用者端末から送信される分析結果情報取得要求に含まれる要求された前記索引情報に関係する情報を要求された順序で送信し、前記使用者端末に前記自然言語による前記語句が表示される情報が送信される、
    請求項1に記載の情報分析装置。
  5. 脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、前記セキュリティに関しての脅威の利用例の情報である利用例情報と、を含む前記セキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置によって実行される情報分析方法であって、
    前記セキュリティ関連情報を受信する第1のステップと、
    前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第2のステップと、
    前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する第3のステップと、
    前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第4のステップと、
    を備える、情報分析方法。
JP2020172800A 2020-10-13 2020-10-13 情報分析装置及び情報分析方法 Pending JP2022064203A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020172800A JP2022064203A (ja) 2020-10-13 2020-10-13 情報分析装置及び情報分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020172800A JP2022064203A (ja) 2020-10-13 2020-10-13 情報分析装置及び情報分析方法

Publications (1)

Publication Number Publication Date
JP2022064203A true JP2022064203A (ja) 2022-04-25

Family

ID=81378536

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020172800A Pending JP2022064203A (ja) 2020-10-13 2020-10-13 情報分析装置及び情報分析方法

Country Status (1)

Country Link
JP (1) JP2022064203A (ja)

Similar Documents

Publication Publication Date Title
US20210294465A1 (en) Interactive interfaces as computerized tools to present summarization data of dataset attributes for collaborative datasets
Cai et al. Collective data-sanitization for preventing sensitive information inference attacks in social networks
Bozarth et al. Toward a better performance evaluation framework for fake news classification
Parshani et al. Critical effect of dependency groups on the function of networks
JP7373611B2 (ja) ログ監査方法、装置、電子機器、媒体およびコンピュータプログラム
CN111786950B (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN112165462A (zh) 基于画像的攻击预测方法、装置、电子设备及存储介质
JP6933112B2 (ja) サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
CN112765366A (zh) 基于知识图谱的apt组织画像构建方法
Kim et al. Automated dataset generation system for collaborative research of cyber threat analysis
CN113626865A (zh) 一种防止泄露敏感信息的数据共享开放方法及系统
US11693958B1 (en) Processing and storing event data in a knowledge graph format for anomaly detection
Luntovskyy et al. Cryptographic technology blockchain and its applications
US20200004771A1 (en) System and method for executing access transactions of documents related to drug discovery
Islam et al. SmartValidator: A framework for automatic identification and classification of cyber threat data
Macák et al. Cybersecurity analysis via process mining: A systematic literature review
US11797617B2 (en) Method and apparatus for collecting information regarding dark web
Gao et al. Graph mining-based trust evaluation mechanism with multidimensional features for large-scale heterogeneous threat intelligence
Alam et al. Looking beyond IoCs: Automatically extracting attack patterns from external CTI
US8396877B2 (en) Method and apparatus for generating a fused view of one or more people
Hernández et al. Open source intelligence (OSINT) as Support of Cybersecurity Operations: Use of OSINT in a Colombian Context and Sentiment Analysis
Alsaif Machine Learning‐Based Ransomware Classification of Bitcoin Transactions
CN114154166A (zh) 异常数据识别方法、装置、设备和存储介质
Rea-Guaman et al. Systematic review: Cybersecurity risk taxonomy
Laassar et al. Intrusion detection systems for internet of thing based big data: a review

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230928