JP6917934B2 - 特徴選択装置および特徴選択方法 - Google Patents

特徴選択装置および特徴選択方法 Download PDF

Info

Publication number
JP6917934B2
JP6917934B2 JP2018054491A JP2018054491A JP6917934B2 JP 6917934 B2 JP6917934 B2 JP 6917934B2 JP 2018054491 A JP2018054491 A JP 2018054491A JP 2018054491 A JP2018054491 A JP 2018054491A JP 6917934 B2 JP6917934 B2 JP 6917934B2
Authority
JP
Japan
Prior art keywords
feature
information
new
evaluation value
new feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018054491A
Other languages
English (en)
Other versions
JP2019168796A (ja
Inventor
佑介 西
佑介 西
保田 淑子
淑子 保田
朋哉 大鳥
朋哉 大鳥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2018054491A priority Critical patent/JP6917934B2/ja
Publication of JP2019168796A publication Critical patent/JP2019168796A/ja
Application granted granted Critical
Publication of JP6917934B2 publication Critical patent/JP6917934B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、特徴選択装置および特徴選択方法に関する。
近年、ウィルスやスパイウェア等のマルウェアの感染や、DDoS(Distributed Denied of Service)攻撃等のサイバー攻撃に対して、その被害を抑えることを目的としたSOC(Security Operation Center)サービスが普及しつつある。
SOCサービスでは、攻撃手法の進化等に伴い、セキュリティ製品から得られるログ等をデータ解析基盤で相関分析し、未知の攻撃やマルウェア感染端末の検知等を実施している。
こうしたSOCサービスでは、様々なログからインシデントを分析し、インシデントが悪性か否か、悪性の場合はインシデントの危険度や重要度を判定する。より多くのシステムを監視し、多数のインシデントを迅速に分析するため、判定結果を得るための分析ロジックすなわちインシデントに関するログの着目すべき特徴とその状態はルール化されたりログを機械学習することでモデル化される。
一般に、サイバー攻撃は、日々新たな手法が発生して攻撃内容や攻撃方法が移り変わっており、トレンド変化が激しい。ある時点で最適なインシデントの判定モデルも時間が経つとトレンドと乖離するため判定精度が落ちる。そのため、日々、サイバー攻撃のトレンド変化に沿った判定モデルの更新が必要となる。
判定モデル更新の方法の1つに、インシデントの悪性を判定するためのログの特徴を選択、更新する方法がある。ここで、1つの判定モデルは、数百から数百万以上の特徴を監視し得る。また、サービス利用者(以下、顧客という)毎、顧客のシステム毎にシステムの特性や守るべき対象、受ける攻撃の種類などが異なるため、監視する特徴が異なる。さらに、日々、様々なセキュリティ製品、サービスおよびツールがリリースされ、学会等においては新たなサイバー攻撃検知技術が提案されており、判定モデル更新に向けて追加候補となる新たな特徴(以下、新特徴という場合がある)は多数存在する。
そのため、顧客毎やシステム毎の判定モデルにどの新特徴を追加すれば判定精度が向上するかという判断が難しく、例えば経験に基づいて新特徴を選択して新特徴のデータを収集し、判定モデルを更新して判定精度が維持されたか検証するといった手順を踏むことになる。そうすると、判定モデルを更新し判定精度を維持するための時間やコストが膨大となるため、判定モデルを更新するための特徴を迅速に選択する技術が求められている。
また、一般に、SOCサービスにおけるインシデントの判定モデルはブラックボックス化しており、顧客は判定モデルの精度をサイバー攻撃のトレンドに追従しているかという観点で判断することは困難である。そのため、判定モデルの精度維持、向上はSOCサービス提供者に委ねることになり、顧客による能動的なセキュリティ確保が難しいという問題がある。顧客毎に、判定モデルとサイバー攻撃のトレンドとの乖離を考慮し、必要なときに必要な特徴の追加による判定モデルの更新を実現する技術が必要となっている。
ここで、特許文献1には、特徴選択装置に関し、「システムは、ファイル内に含まれる情報から抽出した特徴の候補群に対し、実験計画法で用いられる直交表により特徴の試行の組み合わせを作成する。そして、システムは、検証用のファイルの分類結果と、推論データのファイルそれぞれがマルウェアか否かの正解情報とを照合することにより、当該特徴の組み合わせによる分類(判定)精度を算出する。その後、システムは、算出に用いた特徴を説明変数とし、当該特徴を用いた場合の分類精度を目的関数とした回帰分析による候補それぞれの寄与度の大きさ計算する。そして、システムはその寄与度の大きさにより特徴を選択し、その選択結果を出力する。」と記載されている。
特開2016−31629号公報
特許文献1に記載の特徴選択装置は、機械学習における特徴選択の試行回数削減に関する手順が開示されている。一方で、同文献の特徴選択装置は、特徴を選択するために特徴の実データを収集し、学習データを作成して判定モデルを作成する。
しかしながら、インシデント判定モデルに追加すべき特徴の選択においては、例えばセキュリティ製品や新技術を導入する前段階のため、実データを収集しておらず、特許文献1の技術を適用することはできない。また、実データを収集するには、セキュリティ製品の購入や新技術のプログラム実装、実データを収集するためのシステム構築、数万以上の検体の実行によるデータ収集が必要となる。また、多種多様の新特徴すべての実データを収集し、判定モデルを構築して精度を比較して、これらの特徴を選択するには膨大な時間とコストがかかる、という問題がある。
本発明は、上記課題に鑑みてなされたものであり、環境の変化に伴うインシデント分析の判定モデルにおける特徴の変更の検討を補助することができる特徴選択装置の提供を目的とする。
本願は、上記課題の少なくとも一部を解決する手段を複数含んでいるが、その例を挙げるならば、以下のとおりである。上記の課題を解決する本発明の一態様に係る特徴選択装置は、インシデント判定モデルへの追加候補となる新特徴の評価値を算出する評価値算出部を備え、前記評価値算出部は、前記新特徴と、前記インシデント判定モデルの現在の特徴であって前記新特徴に類似する現特徴と、の類似度と、前記新特徴と、情報セキュリティ上の流行しているサイバー攻撃の特徴であって前記新特徴に類似する関連トレンド特徴と、の類似度と、前記関連トレンド特徴と、顧客の特性を示す顧客特性と、の類似度と、を算出し、前記新特徴と前記類似現特徴との類似度と、前記新特徴と前記関連トレンド特徴との類似度と、前記関連トレンド特徴と前記顧客特性との合致度と、を用いて前記新特徴の評価値を算出する。
本発明に係る特徴選択装置によれば、環境の変化に伴うインシデント分析の判定モデルにおける特徴の変更の検討を補助することができる。
本発明の一実施形態に係る特徴選択システムの概略構成の一例を示した図である。 本発明の一実施形態に係る特徴選択装置の機能構成の一例を示した機能ブロック図である。 本発明の一実施形態に係る学習データの一例を示した図である。 本発明の一実施形態に係る顧客管理情報の一例を示した図である。 本発明の一実施形態に係る現特徴管理情報の一例を示した図である。 本発明の一実施形態に係るトレンド管理情報の一例を示した図である。 本発明の一実施形態に係る評価値管理情報の一例を示した図である。 本発明の一実施形態に係る特徴選択装置のハードウェア構成の一例を示した図である。 本発明の一実施形態に係る顧客情報管理処理の一例を示したフロー図である。 本発明の一実施形態に係る特徴管理処理の一例を示したフロー図である。 本発明の一実施形態に係るトレンド管理処理の一例を示したフロー図である。 本発明の一実施形態に係る新特徴評価値更新処理の一例を示したフロー図である。 本発明の一実施形態に係る新特徴の評価結果情報を示した画面例である。
以下、本発明の一実施形態に係る特徴選択装置100について図面を用いて説明する。
図1は、本発明に係る特徴選択装置を含む特徴選択システムの概略構成の一例を示した図である。特徴選択システムは、コンピュータシステム1A、1Bと、セキュリティ関連情報10と、特徴選択装置100と、SOC管理装置400とを有している。なお、特徴選択装置100は、ネットワーク3を介してコンピュータシステム1A、1BおよびSOC管理装置400と相互通信可能に接続されている。なお、特徴選択装置100に接続されるコンピュータシステムの台数は特に制限されるものではなく、例えば100台であっても1000台以上であっても良い。
また、特徴選択装置100は、ネットワーク4を介して、セキュリティ関連情報10に接続されている。なお、ネットワーク3、4は、例えばインターネット等の公衆網やLAN(Local Area Network)、WAN(Wide Area Network)などである。
コンピュータシステム1A、1Bは、例えばセキュリティ製品を提供するセキュリティ企業あるいはセキュリティに関する情報を収集および公開するセキュリティ機関などが保有し、独自にセキュリティ情報を収集および分析するシステムに設置された物理的なコンピュータハードウェアであるサーバ計算機などである。
コンピュータシステム1A、1Bは、セキュリティ脅威情報2A、2Bを有している。セキュリティ脅威情報2A、2Bは、サイバー攻撃に関する情報である。具体的には、セキュリティ脅威情報2A、2Bは、例えばSTIX(Structured Threat Information eXpression)といったサイバー攻撃を記述するための規格に沿ったサイバー攻撃情報あるいはセキュリティ企業やセキュリティ機関が独自に提供する形式のサイバー攻撃情報である。
より具体的には、セキュリティ脅威情報2A、2Bには、流行しているサイバー攻撃の特徴を示すトレンド特徴、危険度、攻撃手法およびシステムなど、後述のトレンド管理情報220の各項目に相当する情報と、セキュリティ脅威情報2A、2Bの送信元であるコンピュータシステム1A、1Bの識別情報とが含まれている。コンピュータシステム1A、1Bは、ネットワーク3を介して定期的(例えば、情報の更新時や各日の所定時刻など)にセキュリティ脅威情報2A、2Bを特徴選択装置100に送信する。
セキュリティ関連情報10は、セキュリティに関する複数の情報を有し、例えばシステム上のデータベースに格納されている。具体的には、セキュリティ関連情報10は、顧客情報5、学習データ6、判定モデル7、トレンド関連情報8および新特徴情報9を有している。なお、本実施形態では、セキュリティ関連情報10は、例えば特徴選択装置100あるいはSOC管理装置400を保有する企業と同一の企業により管理されているものとする。
顧客情報5は、SOCサービスの提供を受ける顧客に関する情報である。顧客情報5には、SOCサービス契約書や、顧客毎のSOC運用履歴、攻撃を受けた履歴および統計データなどが含まれる。具体的には、顧客情報5には、「顧客Aは、業界が金融で、SOCサービスの対象はWebシステムで、日本に存在する」、「過去にDDoS攻撃を多く受けた」といった情報が含まれる。
このような顧客情報5の内容は、後述の顧客管理情報200の各項目に対応している。
学習データ6は、インシデントの判定モデル7を作成するために用いられる情報である。例えば、学習データ6は、少なくとも検体と、検体毎の特徴と、実データと、判定結果とに関する情報と、を有している。
図3は、学習データ6の一例を示した図である。図示する例では、学習データ6は、顧客別に生成されている。また、例えば顧客Aに関する学習データ6において、検体6Aは、「a」、「b」および「c」などのインシデントのトリガとなる検体すなわち不審なIPアドレスやURLおよびファイルなどの検体を識別する情報である。また、「HKEY_CURRENT_UDER¥Software¥Microsoft¥Command Processorへのアクセス」6B、「通信先の国名」6Cおよび「XwCreateFileの定期的な実行」6Dは、検体の特徴を示す情報である。また、「あり」、「なし」、「北朝鮮」、「日本」、「ロシア」は、検体の特徴に対する実データである。また、悪性判定6Eは、検体が悪性か否かを示す情報であり、悪性度6Fは、検体の悪性度を示す情報である。また、「悪性」および「良性」は、悪性判定6Eの結果を示す情報であり、「8」、「0.3」および「4」は、悪性度6Fの値を示す情報である。
例えば、図3のレコード6Gは、「顧客Aのシステムにおいては、検体aは、HKEY_CURRENT_UDER¥Software¥Microsoft¥Command Processorへのアクセスへのアクセスがあり、通信先の国名は北朝鮮で、ZwCreateFileの定期的な実行があり、総合して悪性と判定し、悪性度は8である」ことを示している。
図1に戻って説明する。判定モデル7は、インシデントに関するログを入力とし、インシデントが悪性か否か、悪性の場合は危険度や重要度を出力するモデルである。具体的には、判定モデル7は、インシデントのログに基づいた判定ルールであったり、機械学習で学習したモデルなどである。
トレンド関連情報8は、例えばセキュリティ脅威情報2A、2Bの送信元に関する情報である。例えば、セキュリティ脅威情報2A、2Bの送信元になり得る日本の金融ISACに関するトレンド関連情報8には、「金融ISACは、業界が金融、場所が日本」といった情報と、セキュリティ脅威情報2A、2Bの送信元となるコンピュータシステム1A、1Bを識別する情報とが対応付けられている。
新特徴情報9は、セキュリティ製品の監視対象となる特徴や、学会などで発表されたサイバー攻撃の検知技術で着目する特徴などに関する情報である。例えば、新特徴情報9には、「ファイルサイズに対するヘッダサイズが60%以上」といった情報が含まれている。
SOC管理装置400は、例えばSOCサービスの提供企業や、顧客企業に設置された物理的なコンピュータハードウェアであるサーバ計算機である。SOC管理装置400は、ネットワーク3を介して特徴選択装置100に相互通信可能に接続されており、特徴選択装置100から所定情報(例えば、後述の新特徴評価結果の画面情報など)を取得する。また、SOC管理装置400は、取得した情報を表示装置に表示する。
図2は、特徴選択装置100の機能構成の一例を示した機能ブロック図である。図示するように、特徴選択装置100は、入力部110と、出力部120と、記憶部130と、演算部140と、通信部150とを有している。
入力部110は、入力情報を受け付ける機能部である。具体的には、入力部110は、特徴選択装置100が備えるキーボードやマウスといった入力装置を介して入力されたユーザの入力情報を受け付ける。また、入力部110は、受け付けた入力情報を演算部140に出力する。
出力部120は、表示装置に表示する画面情報などを生成する機能部である。具体的には、出力部120は、特徴選択装置100が備えるディスプレイといった表示装置に表示する画面情報を生成する。また、出力部120は、生成した画面情報を表示装置に出力する。
記憶部130は、様々な情報を格納する機能部である。具体的には、記憶部130は、顧客管理情報200と、現特徴管理情報210と、トレンド管理情報220と、評価値管理情報230とを有している。
図4は、顧客管理情報200の一例を示した図である。顧客管理情報200には、顧客に関する種々の情報が含まれている。具体的には、顧客管理情報200は、顧客200Aと、業界200Bと、場所200Cと、システム200Dと、頻度が高い被攻撃手法200Eといった情報が対応付けられたレコードを有している。
顧客200Aは、顧客を特定する情報である。業界200Bは、顧客が属する業界を示す情報である。場所200Cは、顧客のシステムが存在する場所を示す情報である。システム200Dは、顧客のシステムの内容を示す情報である。頻度が高い被攻撃手法200Eは、顧客が過去に受けた攻撃の中で頻度が高い攻撃手法を示す情報である。なお、以下では、業界200B、場所200C、システム200Dおよび頻度が高い被攻撃手法200Eを纏めて顧客特性という場合がある。
例えば、図4のレコード200Fは、「顧客Aは、金融業界の会社であり、SOCサービスでは日本に構築したWebシステムを監視しており、過去DDoS攻撃の頻度が高い」ことを示している。
図5は、現特徴管理情報210の一例を示した図である。現特徴管理情報210には、現在の学習データ6から取得可能な検体の特徴すなわちインシデントの判定モデル7の特徴(現特徴)に関する情報が含まれている。具体的には、現特徴管理情報210は、顧客210Aと、現特徴210Bと、寄与率210Cとが対応付けられたレコードを有している。
顧客210Aは、顧客を特定する情報である。現特徴210Bは、判定モデル7を作成するために学習データ6から抽出される検体の特徴を示す情報である。寄与率210Cは、現特徴に関して判定モデル7の判定への影響度を表す情報である。
例えば、図5のレコード210Dは、「顧客Aの判定モデルにおいては、現特徴“HKEY_CURRENT_UDER¥Software¥Microsoft¥Command Processorへのアクセス”の寄与率が40」であることを示している。
図6は、トレンド管理情報220の一例を示した図である。トレンド管理情報220には、流行しているサイバー攻撃の特徴(検体の特徴)に関する情報が含まれている。具体的には、トレンド管理情報220は、トレンド特徴220Aと、危険度220Bと、攻撃手法220Cと、業界220Dと、場所220Eと、システム220Fとが対応付けられたレコードを有している。
トレンド特徴220Aは、流行しているサイバー攻撃の特徴(検体の特徴)を示す情報である。危険度220Bは、サイバー攻撃の危険度を示す情報である。攻撃手法220Cは、サイバー攻撃の攻撃手法を示す情報である。業界220Dは、サイバー攻撃が発生した業界または発生し易い業界を示す情報である。場所220Eは、サイバー攻撃が発生した場所または発生し易い場所を示す情報である。システム220Fは、サイバー攻撃が発生したシステムまたは発生し易いシステムを示す情報である。なお、以下では、攻撃手法220C、業界220D、場所220Eおよびシステム220Fを纏めてトレンド特性という場合がある。
例えば、図6のレコード220Gは、「トレンド特徴“HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Explore¥ScreenSaver¥hogeの作成”を示すサイバー攻撃は、危険度が2で、攻撃手法はトロイの木馬、業界は金融で、日本にあるWindowsシステムで発生し易い」ことを示している。
図7は、評価値管理情報230の一例を示した図である。評価値管理情報230には、新特徴の評価値に関する情報が含まれている。具体的には、評価値管理情報230は、顧客230Aと、新特徴230Bと、類似現特徴との類似度230Cと、新特徴の推定寄与率230Dと、関連トレンド特徴との類似度230Eと、推定危険度230Fと、関連トレンド特徴と顧客特性との合致度230Gと、評価値230Hとが対応付けられたレコードを有している。なお、類似現特徴は、新特徴と類似度が高い現特徴のことである。また、関連トレンド特徴は、新特徴と類似度が高いトレンド特徴すなわち後述のトレンド評価値が高いトレンド特徴のことである。
顧客230Aは、顧客を特定する情報である。新特徴230Bは、新特徴情報9から取得した新特徴であって、インシデント判定モデルへの追加候補となる新特徴を示す情報である。類似現特徴との類似度230Cは、新特徴と、類似現特徴との類似度を示す情報である。新特徴の推定寄与率230Dは、新特徴の推定される寄与率すなわち新特徴に関して推定される判定モデル7の判定への影響度を示す情報である。関連トレンド特徴との類似度230Eは、新特徴と関連トレンド特徴との類似度を示す情報である。推定危険度230Fは、新特徴を監視することで検出し得る検体の推定される危険度を示す情報である。関連トレンド特徴と顧客特性との合致度230Gは、関連トレンド特徴のトレンド特性と、顧客特性との合致度を示す情報である。評価値230Hは、新特徴の評価値を示す情報である。
例えば、図7のレコード230Iは、「顧客Aにおいて、新特徴“HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Runへの登録”は、類似現特徴との類似度が0.7、推定寄与率が40、関連トレンド特徴との類似度が0.6、推定危険度が6、関連トレンド特徴のトレンド特性と、顧客特性との合致度が3で、新特徴の評価値が302.4」であることを示している。
なお、顧客管理情報200、現特徴管理情報210およびトレンド管理情報220は、新特徴評価値更新処理に用いられる情報である。また、評価値管理情報230は、新特徴評価値更新処理により生成あるいは更新される情報である。
図2に戻って説明する。演算部140は、顧客情報管理部300と、現特徴管理部310と、トレンド管理部320と、評価値算出部330と、新特徴提示部340とを有している。
顧客情報管理部300は、顧客管理情報200を更新する機能部である。具体的には、顧客情報管理部300は、通信部150を介して顧客情報5を取得し、取得した顧客情報5を用いて顧客管理情報200を更新する。顧客管理情報200を更新する顧客情報管理処理の詳細については後述する。
現特徴管理部310は、現特徴管理情報210を更新する機能部である。具体的には、現特徴管理部310は、通信部150を介して学習データ6を取得し、取得した学習データ6を用いて現特徴管理情報210を更新する。現特徴管理情報210を更新する特徴管理処理の詳細については後述する。
トレンド管理部320は、トレンド管理情報220を更新する機能部である。具体的には、トレンド管理部320は、通信部150を介してセキュリティ脅威情報2A、2Bおよびトレンド関連情報8を取得し、取得したこれらの情報を用いてトレンド管理情報220を更新する。トレンド管理情報220を更新するトレンド管理処理の詳細については後述する。
評価値算出部330は、評価値管理情報230を更新する機能部である。具体的には、評価値算出部330は、通信部150を介して新特徴情報9を取得する。また、評価値算出部330は、記憶部130から顧客管理情報200と、現特徴管理情報210と、トレンド管理情報220とを取得する。また、評価値算出部330は、取得したこれらの情報を用いて新特徴評価値更新処理を行う。新特徴評価値更新処理の詳細については後述する。
新特徴提示部340は、新特徴のうち、評価値の高い新特徴を提示する機能部である。具体的には、新特徴提示部340は、評価値管理情報230を用いて評価値の高い新特徴を特定し、インシデントの判定モデル7への追加候補となる新特徴の順位付けを行う。また、新特徴提示部340は、評価値の高い新特徴をユーザに提示する画面情報の生成指示を出力部120に対して行う。
通信部150は、外部装置との間で情報の送受信を行う機能部である。具体的には、通信部150は、コンピュータシステム1A、1Bからセキュリティ脅威情報2A、2Bを取得する。また、通信部150は、セキュリティ関連情報10に含まれる顧客情報5、学習データ6、判定モデル7、トレンド関連情報8および新特徴情報9を取得する。また、通信部150は、生成した新特徴評価結果の画面情報をSOC管理装置400に送信する。
以上、特徴選択装置100の機能ブロックについて説明した。
図8は、特徴選択装置100のハードウェア構成の一例を示した図である。特徴選択装置100は、例えば物理的なコンピュータハードウェアであるサーバ計算機により実現される。
特徴選択装置100は、入力装置501と、表示装置502と、外部記憶装置503と、演算装置504と、主記憶装置505と、通信装置506と、これらを電気的に相互接続するバス507とを有している。
入力装置501は、キーボードやマウス、タッチパネルなどのポインティングデバイスあるいは音声入力装置であるマイクなどである。表示装置502は、ディスプレイや音声出力装置であるスピーカなどである。
外部記憶装置503は、デジタル情報を記憶可能ないわゆるハードディスク(Hard Disk Drive)やSSD(Solid State Drive)あるいはフラッシュメモリなどの不揮発性記憶装置である。
演算装置504は、例えばCPU(Central Processing Unit)である。主記憶装置505は、RAM(Random Access Memory)やROM(Read Only Memory)などのメモリ装置である。
通信装置506は、ネットワークケーブルを介して有線通信を行う有線の通信装置、またはアンテナを介して無線通信を行う無線通信装置である。通信装置506は、ネットワークに接続されている外部装置との間で情報通信を行う。
なお、特徴選択装置100の演算部140は、演算装置504に処理を行わせるプログラムによって実現される。このプログラムは、主記憶装置505あるいは外部記憶装置503に記憶され、プログラムの実行にあたって主記憶装置505上にロードされ、演算装置504により実行される。また、記憶部130は、主記憶装置505または外部記憶装置503あるいはこれらの組合せにより実現される。また、通信部150は、通信装置506により実現される。ただし、特徴選択装置100のハードウェア構成は、前述の構成に限定されるものではない。
また、特徴選択装置100の上記の各構成、機能、処理部および処理手段等は、それらの一部または全部を、例えば集積回路で設計する等によりハードウェアで実現しても良い。また、上記構成、機能は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現しても良い。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD等の記憶装置またはICカード、SDカードおよびDVD等の記録媒体に置くことができる。
また、特徴選択装置100のハードウェア構成はこれらに限られるものではなく、その他のハードウェアを用いて構成されるものであっても良い。例えば、インターネットを介して入出力を受け付ける装置であっても良い。なお、特徴選択装置100は、図示しないが、OS(Operating System)、ミドルウェア、アプリケーションなどの公知の要素を有し、特にディスプレイなどの入出力装置にGUI画面を表示するための既存の処理機能を備える。
以上、特徴選択装置100のハードウェア構成について説明した。
[動作の説明]
図9は、顧客情報管理処理の一例を示したフロー図である。かかる処理は、例えば入力部110を介してユーザから処理の実行指示を受け付けた場合あるいは定期的(例えば、毎分または各日所定の時刻など)に特徴選択装置100により実行される。
顧客情報管理処理が開始されると、顧客情報管理部300は、顧客情報5に変更があるか否かを判定する(ステップS111)。具体的には、顧客情報管理部300は、通信部150を介して顧客情報5を取得する。また、顧客情報管理部300は、顧客管理情報200の各項目に相当する顧客情報5の内容と、記憶部130に格納されている顧客管理情報200の顧客200A、業界200B、場所200C、システム200Dおよび頻度が高い被攻撃手法200Eとを比較する。そして、顧客情報5に顧客の追加または削除を示す内容がある場合あるいは顧客特性の変更、追加または削除を示す内容が含まれる場合には、顧客情報管理部300は、顧客情報5に変更があると判定する。
なお、顧客情報管理部300は、例えば攻撃された履歴を顧客情報5から抽出し、これを用いて攻撃頻度を算出することで、頻度が高い被攻撃手法200Eに変更があるか否かを判定しても良い。
そして、変更がないと判定した場合(ステップS111でNo)、顧客情報管理部300は、本フローの処理を終了する。一方で、変更があると判定した場合(ステップS111でYes)、顧客情報管理部300は、処理をステップS112に移行する。
ステップS112では、顧客情報管理部300は、顧客管理情報200を更新する。具体的には、顧客情報管理部300は、変更された顧客情報5の内容を顧客管理情報200に反映することにより顧客管理情報200を更新する。また、顧客情報管理部300は、顧客管理情報200の更新を行うと、本フローの処理を終了する。
なお、顧客情報5から顧客管理情報200の各項目に相当する内容を抽出する方法は特に限定されるものではない。例えば、顧客情報管理部300は、顧客情報5に含まれる情報をそのままの形式で抽出しても良く、形態素解析により文字列を抽出しても良い。また、運用管理者が顧客情報5から任意に抽出しても良い。
以上、顧客情報管理処理について説明した。
図10は、特徴管理処理の一例を示したフロー図である。かかる処理は、例えば入力部110を介してユーザから処理の実行指示を受け付けた場合あるいは定期的(例えば、毎分または各日所定の時刻など)に特徴選択装置100により実行される。
また、特徴管理処理は、顧客別に実行される。具体的には、現特徴管理部310は、例えば顧客Aについて特徴管理処理を行う場合、顧客Aに関する学習データ6を用いて所定の処理を行う。また、現特徴管理部310は、顧客Aに関する処理結果については、顧客Aに対応付けて現特徴管理情報210に格納する。また、特徴管理処理は、顧客Aについての処理を終了した後、他の顧客(例えば、顧客Bなど)についても同様に特徴管理処理を行う。なお、現特徴管理部310は、入力部110を介してユーザから受け付けた対象の顧客についてのみ特徴管理処理を行っても良い。
処理が開始されると、現特徴管理部310は、学習データ6に変更があるか否かを判定する(ステップS121)。具体的には、現特徴管理部310は、通信部150を介して現在の学習データ6を取得する。また、現特徴管理部310は、所定のタイミング(例えば、前回の特徴管理処理の実行時など)で一次的に保存しておいた学習データ6を記憶部130から取得する。また、現特徴管理部310は、これらの学習データ6同士を比較する。
また、現特徴管理部310は、例えば現在の学習データ6における現特徴6B〜6Dに追加または削除がある場合、検体6Aに追加や削除がある場合および悪性判定6Eや悪性度6Fに関する判定結果に変更がある場合には、学習データ6に変更があると判定する。
そして、学習データ6に変更がないと判定した場合(ステップS121でNo)、現特徴管理部310は、本フローの処理を終了する。一方で、学習データ6に変更があると判定した場合(ステップS121でYes)、現特徴管理部310は、処理をステップS122に移行する。
ステップS122では、現特徴管理部310は、現特徴を抽出する。例えば、図3に示す学習データ6の例では、現特徴管理部310は、“HKEY_CURRENT_USER¥Software¥Microsoft¥Command Processorへのアクセス”や“通信先の国名”などの現特徴6B〜6Dを学習データ6から抽出する。
なお、学習データ6から現特徴を抽出する方法は特に限定されるものではない。また、現特徴管理部310は、学習データ6から取得される情報をそのままの形式で抽出しても良く、形態素解析により文字列を抽出しても良い。また、運用管理者が現特徴6B〜6Dを学習データ6から任意に抽出しても良い。
次に、現特徴管理部310は、学習データ6を用いて、抽出した現特徴の寄与率を算出する(ステップS123)。なお、寄与率とは、例えば現特徴の各々が判定モデル7の全体の中でどれだけの変動の割合を占めるかを示し、値が大きいほど相対的に説明力が高い特徴であることを示すものである。現特徴管理部310は、寄与率を算出可能な主成分分析といった公知技術を用いて、抽出した現特徴の寄与率を算出する。
次に、現特徴管理部310は、算出した寄与率に現特徴を対応付けて現特徴管理情報210に格納する(ステップS124)。また、現特徴管理部310は、かかる処理を行うと、本フローの処理を終了する。
以上、特徴管理処理について説明した。
図11は、トレンド管理処理の一例を示したフロー図である。かかる処理は、例えば入力部110を介してユーザから処理の実行指示を受け付けた場合あるいは定期的(例えば、毎分または各日所定の時刻など)に特徴選択装置100により実行される。
処理が開始されると、トレンド管理部320は、通信部150を介してコンピュータシステム1A、1Bからセキュリティ脅威情報2A、2Bを取得する(ステップS131)。
次に、トレンド管理部320は、セキュリティ脅威情報2A、2Bからトレンド管理情報220におけるトレンド特徴220A、危険度220B、攻撃手法220Cおよびシステム220Fに関する情報と、セキュリティ脅威情報2A、2Bの送信元であるコンピュータシステム1A、1Bの識別情報とを抽出する(ステップS132)。
次に、トレンド管理部320は、通信部150を介してトレンド関連情報8を取得する(ステップS133)。また、トレンド管理部320は、セキュリティ脅威情報2A、2Bの送信元企業の属する業界および場所をトレンド関連情報8から特定する。具体的には、トレンド管理部320は、ステップS132で抽出したセキュリティ脅威情報2A、2Bの送信元であるコンピュータシステム1A、1Bの識別情報が対応付けられた業界および場所に関する情報をトレンド関連情報8から抽出する(ステップS134)。
次に、トレンド管理部320は、セキュリティ脅威情報2A、2Bおよびトレンド管理情報220から抽出した情報(トレンド特徴220A、危険度220B、攻撃手法220C、システム220F、業界および場所)を対応付けてトレンド管理情報220に格納する(ステップS135)。また、トレンド管理部320は、かかる処理を行うと、本フローの処理を終了する。
なお、トレンド管理処理は、例えばセキュリティ脅威情報2A、2Bをコンピュータシステム1A、1Bから取得したタイミングで開始しても良く、トレンド関連情報8が更新されるたびに実行されても良い。
また、ステップS132あるいはステップS134の処理における情報の抽出方法は、例えばセキュリティ脅威情報2A、2Bやトレンド関連情報8から取得される情報をそのままの形式で抽出しても良く、形態素解析により文字列を抽出しても良い。また、運用管理者がセキュリティ脅威情報2A、2Bあるいはトレンド関連情報8から任意に抽出しても良い。
また、危険度に関する情報は、セキュリティ脅威情報2A、2Bに予め含まれていても良く、例えばトレンド特徴がセキュリティ脅威情報2A、2Bに含まれる頻度からトレンド管理部320が危険度を算出しても良い。
以上、トレンド管理処理について説明した。
図12は、新特徴評価値更新処理の一例を示したフロー図である。かかる処理は、例えば入力部110を介してユーザから処理の実行指示を受け付けた場合あるいは定期的(例えば、毎分または各日所定の時刻など)に特徴選択装置100により実行される。
また、新特徴評価値更新処理は、顧客別に実行される。具体的には、評価値算出部330は、例えば顧客Aについて新特徴評価値更新処理を行う場合、現特徴管理情報210および顧客管理情報200の顧客Aが対応付けられている情報を用いて所定の処理を行う。また、評価値算出部330は、顧客Aに関する処理結果については、顧客Aに対応付けて評価値管理情報230に格納する。また、評価値算出部330は、顧客Aについての処理を終了した後、他の顧客(例えば、顧客Bなど)についても同様に新特徴評価値更新処理を行う。なお、評価値算出部330は、入力部110を介してユーザから受け付けた対象の顧客についてのみ新特徴評価値更新処理を行っても良い。
処理が開始されると、評価値算出部330は、新特徴情報9、顧客管理情報200、現特徴管理情報210およびトレンド管理情報220のうち、少なくともいずれか1つが更新されたか否かを判定する(ステップS141)。具体的には、評価値算出部330は、通信部150を介して現在の新特徴情報9を取得する。また、評価値算出部330は、記憶部130から現在の顧客管理情報200、現特徴管理情報210およびトレンド管理情報220を取得する。また、評価値算出部330は、所定のタイミング(例えば、前回の新特徴評価値更新処理の実行時など)で一次的に保存しておいた新特徴情報9、顧客管理情報200、現特徴管理情報210およびトレンド管理情報220を記憶部130から取得する。また、評価値算出部330は、現在の新特徴情報9、顧客管理情報200、現特徴管理情報210およびトレンド管理情報220と、一次的に保存していた新特徴情報9、顧客管理情報200、現特徴管理情報210およびトレンド管理情報220とを比較することにより、これらの情報のうち少なくとも1つが更新されたか否かを判定する。
そして、更新されていないと判定した場合(ステップS141でNo)、評価値算出部330は、本フローの処理を終了する。一方で、更新されたと判定した場合(ステップS141でYes)、評価値算出部330は、処理をステップS142に移行する。
ステップS142では、評価値算出部330は、現特徴管理情報210を用いて、新特徴と現特徴の類似度を算出する。具体的には、評価値算出部330は、通信部150を介して新特徴情報9を取得し、かかる新特徴情報9に含まれる新特徴を抽出する。
また、評価値算出部330は、例えばレーベンシュタイン距離といった公知の技術を用いて、新特徴と、現特徴管理情報210に格納されている現特徴210Bとの文字列の類似度を算出する。また、評価値算出部330は、例えば類似度が最も高い現特徴あるいは所定の閾値よりも高い類似度の現特徴を類似現特徴として特定する。なお、類似現特徴が複数ある場合、評価値算出部330は、複数の類似現特徴と新特徴との類似度の平均値を算出し、これを類似現特徴の類似度として算出する。
なお、類似度の算出方法は特に限定されるものではなく、例えば予め「IPアドレスとURLとドメインの国名とは、通信先という分類に含まれ、類似度は1」といったように、特徴の分類を示す情報を記憶部130に格納しておく。そして、評価値算出部330は、例えば「IPアドレスという新特徴は、URLやドメインの国名という現特徴が類似現特徴であって、その類似度が1である」というように、新特徴と現特徴との類似度を算出しても良い。
また、新特徴は、新特徴情報9からそのままの形式で抽出しても良いし、形態素解析により文字列を抽出しても良い。また、新特徴は、運用管理者が任意に新特徴情報9から抽出しても良い。
次に、評価値算出部330は、新特徴の推定される寄与率を算出する(ステップS143)。具体的には、評価値算出部330は、現特徴管理情報210を用いて、類似現特徴の寄与率210Cを新特徴の寄与率(以下、推定寄与率という場合がある)として推定する。なお、複数の類似現特徴がある場合、評価値算出部330は、かかる複数の類似現特徴の寄与率210Cを現特徴管理情報210から特定し、特定した寄与率210Cの平均値を算出して新特徴の推定寄与率とする。なお、推定寄与率の算出方法はこれらに限定されるものではない。
次に、評価値算出部330は、トレンド管理情報220を用いて、新特徴と全てのトレンド特徴220Aの類似度を算出する(ステップS144)。具体的には、評価値算出部330は、例えばレーベンシュタイン距離といった公知の技術を用いて、新特徴とトレンド特徴220Aの文字列の類似度を算出する。
なお、新特徴とトレンド特徴の類似度の算出方法は特に限定されるものではない。また、類似度の算出対象となるトレンド特徴220Aは、例えば直近の所定数(例えば、1万件)のトレンド特徴など、運用管理者が任意に設定した範囲のトレンド特徴でも良い。
次に、評価値算出部330は、類似度を算出したトレンド特徴に関し、顧客特性との合致度を算出する(ステップS145)。具体的には、評価値算出部330は、類似度を算出したトレンド特徴に対応付けられた業界220D、場所220E、システム220Fおよび攻撃手法220Cをトレンド管理情報220から特定する。また、評価値算出部330は、対象の顧客(例えば、顧客A)が対応付けられた業界220B、場所220C、システム220Dおよび頻度が高い被攻撃手法220Eを顧客管理情報200から特定する。また、評価値算出部330は、これら4つの対応する項目のうち、合致した項目数に「1」を加算することにより、かかる合致度を算出する。例えば、4つの対応する項目のうち、2つの項目が合致している場合、評価値算出部330は、合致した項目数「2」に「1」を加算した値「3」を合致度として算出する。なお、合致度の算出方法については特に限定されるものではない。
次に、評価値算出部330は、新特徴と関連性の高いトレンド特徴を抽出する(ステップS146)。具体的には、評価値算出部330は、ステップS144で算出した新特徴とトレンド特徴の類似度と、ステップS145で算出したトレンド特徴に関する顧客特性との合致度と、トレンド管理情報220においてトレンド特徴220Aごとに対応付けられた危険度220Bとを乗算することによりトレンド特徴評価値を算出する。また、評価値算出部330は、算出したトレンド特徴評価値が最も高いトレンド特徴を新特徴と関連性の高いトレンド特徴(以下、「関連トレンド特徴」という場合がある)として抽出する。
なお、トレンド特徴評価値の算出方法は、このような方法に限定されるものではなく、例えば所定の閾値以上のトレンド特徴評価値となるトレンド特徴を関連トレンド特徴として抽出しても良い。また、複数の関連トレンド特徴を抽出した場合、評価値算出部330は、ステップS144で算出した各関連トレンド特徴と新特徴の類似度の平均値を算出し、これを関連トレンド特徴の類似度として算出する。
次に、評価値算出部330は、新特徴の評価値を算出する(ステップS147)。具体的には、評価値算出部330は、新特徴と類似現特徴との類似度と、新特徴の推定寄与率と、関連トレンド特徴との類似度と、トレンド管理情報220において関連トレンド特徴に対応付けられている危険度(推定危険度)と、関連トレンド特徴の顧客特性との合致度とを乗算して得られる値を新特徴の評価値として算出する。
なお、新特徴の評価値の算出方法はこのような方法に限定されるものではなく、例えば、新特徴と類似現特徴との類似度と、新特徴の推定寄与率と、関連トレンド特徴との類似度と、トレンド管理情報220において関連トレンド特徴に対応付けられている危険度(推定危険度)と、関連トレンド特徴の顧客特性との合致度と、の中から任意の要素を用いて新特徴の評価値を算出しても良い。例えば、評価値算出部330は、少なくとも新特徴と類似現特徴との類似度と、関連トレンド特徴との類似度と、関連トレンド特徴の顧客特性との合致度と、を用いて新特徴の評価値を算出しても良い。
また、例えば複数の関連トレンド特徴がある場合、評価値算出部330は、トレンド管理情報220の各関連トレンド特徴に対応付けられている危険度220Bの平均値を推定危険度の値として算出し、新特徴の評価値計算に用いる。また、評価値算出部330は、複数の関連トレンド特徴がある場合、各関連トレンド特徴と顧客特性との合致度の平均値を関連トレンド特徴と顧客特性との合致度の値として算出し、新特徴の評価値計算に用いる。
次に、評価値算出部330は、評価値管理情報230を更新する(ステップS148)。具体的には、評価値算出部330は、ステップS142〜ステップS147で算出した「類似現特徴との類似度」と、「推定寄与率」と、「関連トレンド特徴との類似度」と、「関連トレンド特徴と顧客特性との合致度」と、トレンド管理情報220において関連トレンド特徴に対応付けられた危険度(推定危険度)」と、「新特徴の評価値」と、を評価値管理情報230に格納する。また、評価値算出部330は、評価値管理情報230を更新すると、本フローの処理を終了する。
以上、新特徴評価値更新処理について説明した。
図13は、新特徴の評価結果情報を示した画面例600である。図示するように、かかる画面例600には、追加すべき新特徴がその理由(備考)と共に順位付けされて表示されている。具体的には、評価結果情報は、顧客、新特徴、評価値、備考および順位が対応付けられたレコードを有しており、例えばレコード601は、「顧客Aでは、新特徴「HKEY_¥CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Runへの登録」の評価値が302.4で順位が1位であり、その理由として類似現特徴との類似度と、トレンド特徴評価値が共に高い」ことを示している。
このような評価結果情報は、評価値管理情報230と、新特徴評価値更新処理のステップS142〜ステップS147で算出した情報とを用いて新特徴提示部340により生成される。具体的には、新特徴提示部340は、例えば入力部110を介してユーザから新特徴の評価結果情報の表示要求を受け付けた場合など、所定のタイミングで評価結果情報を生成する。また、新特徴提示部340は、出力部120に対して、生成した評価結果情報を表示するための画面情報の生成指示を行う。
評価結果情報の生成にあたり、新特徴提示部340は、所定のルールに従って評価値管理情報230に含まれる新特徴の順位を求める。例えば新特徴提示部340は、「類似現特徴との類似度と、トレンド特徴評価値とが共に高い」という予め記憶部130に格納されている運用管理者のポリシ(ルール)に従って、新特徴と類似現特徴との類似度と、トレンド特徴評価値とが所定の閾値以上である新特徴の中から評価値が最も高い新特徴を特定する。
また、新特徴提示部340は、例えば「トレンド特徴評価値が高い」という運用管理者のポリシ(ルール)に従い、トレンド特徴評価値が所定の閾値以上である新特徴の中から評価値が最も高い新特徴を特定する。
また、新特徴提示部340は、例えば「類似現特徴との類似度が高い」という運用管理者のポリシ(ルール)に従い、新特徴と類似現特徴との類似度が所定の閾値以上である新特徴の中から評価値が最も高い新特徴を特定する。
また、新特徴提示部340は、例えば「類似現特徴との類似度と、トレンド特徴評価値とが共に低い」という運用管理者のポリシ(ルール)に従い、類似現特徴との類似度およびトレンド特徴評価値とが所定の閾値未満である新特徴の中から評価値が最も高い新特徴を特定する。また、新特徴提示部340は、運用管理者のポリシ(ルール)に応じた順位に基づき、特定したこれらの新特徴について順位付けを行う。
例えば、新特徴提示部340は、「類似現特徴との類似度と、トレンド特徴評価値とが共に高い」というルールに従い特定した新特徴に1位の順位を付与する。また、新特徴提示部340は、「トレンド特徴評価値が高い」というルールに従い特定した新特徴に2位の順位を付与する。また、新特徴提示部340は、「類似現特徴との類似度が高い」というルールに従い特定した新特徴に3位の順位を付与する。また、新特徴提示部340は、「類似現特徴との類似度と、トレンド特徴評価値とが共に低い」というルールに従い特定した新特徴に4位の順位を付与する。なお、所定のルール(運用管理者のポリシ)と付与される順位は限定されるものではない。
また、出力部120は、対象の顧客と、特定した新特徴と、その評価値とを評価値管理情報230から抽出し、これに運用管理者のポリシ(ルール)と、新特徴の順位とを対応付けた新特徴の評価結果情報を生成する。また、新特徴提示部340は、出力部120に対して評価結果情報を表示するための画面情報の生成指示を出力する。
出力部120は、新特徴提示部340からの指示に基づき評価結果情報の画面情報を生成し、これを表示装置502に出力する。なお、出力部120は、通信部150を介して評価結果情報の画面情報をSOC管理装置400に送信し、SOC管理装置400上にかかる画面情報を表示させても良い。
なお、新特徴の評価結果情報の構成は、上記の構成に限定されるものではなく、新特徴提示部340は、例えば評価値管理情報230の評価値の高い順に新特徴を抽出し、それらを対応付けた評価結果情報を生成しても良い。
以上のような本実施形態に係る特徴管理装置によれば、環境の変化に伴うインシデント分析の判定モデルにおける特徴の変更の検討を補助することができる。特に、特徴管理装置では、新特徴評価値更新処理の実行により、現在の判定モデル7で寄与率の高い特徴に類似する新特徴の評価値を高くし、顧客特性と関連が深く危険度の高いトレンド特徴に類似する新特徴の評価値を高くすることができる。そのため、特徴選択装置によれば、新特徴の評価値を用いて新特徴を選択することで、実データを収集することなく、顧客毎の特性を踏まえてサイバー攻撃の最新トレンドに沿って判定モデル7の精度向上に向けた新特徴を選択することができるようになる。
また、特徴選択装置は、新特徴の評価結果情報を表示して追加すべき新特徴をユーザに提示することができる。これにより、従来、ブラックボックス化していた判定モデルの精度に関して評価値や備考によってサイバー攻撃のトレンドに追従しているかどうか、追加すべき新特徴が存在するか否か、といった観点でユーザが確認することができる。その結果、例えばSOCサービス提供者は、必要な時に必要な新特徴の追加を顧客に提案することができる。また、例えば顧客が新特徴の追加をSOCサービス提供者に依頼し、判定モデル7精度向上を図ることができる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、置換をすることが可能である。
また、上記説明では、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えて良い。
1A、1B・・・コンピュータシステム、2A、2B・・・セキュリティ脅威情報、
3、4・・・ネットワーク、5・・・顧客情報、6・・・学習データ、
7・・・判定モデル、8・・・トレンド関連情報、9・・・新特徴情報、
10・・・セキュリティ関連情報、100・・・特徴選択装置、110入力部、
120・・・出力部、130・・・記憶部、140・・・演算部、150・・・通信部、
200・・・顧客管理情報、210・・・現特徴管理情報、
220・・・トレンド管理情報、230・・・評価値管理情報、
300・・・顧客情報管理部、310・・・現特徴管理部、320・・・トレンド管理部、
330・・・評価値算出部、340・・・新特徴提示部、400・・・SOC管理装置、
501・・・入力装置、502・・・表示装置、503・・・外部記憶装置、
504・・・演算装置、505・・・主記憶装置、506・・・通信装置、
507・・・バス

Claims (9)

  1. インシデント判定モデルへの追加候補となる新特徴の評価値を算出する評価値算出部を備え、
    前記評価値算出部は、
    前記新特徴と、前記インシデント判定モデルの現在の特徴であって前記新特徴に類似する類似現特徴と、の類似度と、
    前記新特徴と、情報セキュリティ上の流行しているサイバー攻撃の特徴であって前記新特徴に類似する関連トレンド特徴と、の類似度と、
    前記関連トレンド特徴と、顧客の特性を示す顧客特性と、の合致度と、を算出し、
    前記新特徴と前記類似現特徴との類似度と、前記新特徴と前記関連トレンド特徴との類似度と、前記関連トレンド特徴と前記顧客特性との合致度と、を用いて前記新特徴の評価値を算出する
    ことを特徴とする特徴選択装置。
  2. 請求項1に記載の特徴選択装置であって、
    前記評価値算出部は、
    前記新特徴に関して前記判定モデルの判定への推定される影響度を示す前記新特徴の推定寄与率と、
    前記新特徴に関して前記サイバー攻撃の推定される危険度を示す推定危険度と、をさらに用いて前記新特徴の評価値を算出する
    ことを特徴とする特徴選択装置。
  3. 請求項1に記載の特徴選択装置であって、
    前記評価値を用いて、前記判定モデルへの追加候補となる前記新特徴の順位を特定し、前記新特徴と、前記評価値と、前記順位とを対応付けた前記新特徴の評価結果情報を生成する新特徴提示部をさらに備える
    ことを特徴とする特徴選択装置。
  4. 請求項3に記載の特徴選択装置であって、
    前記新特徴提示部は、
    所定のルールに従って特定した前記新特徴の中から前記評価値に基づき前記新特徴を特定し、
    前記所定のルールに応じた順位を特定した前記新特徴に付与し、
    前記新特徴と、前記評価値と、前記所定のルールと、前記順位とを対応付けた前記評価結果情報を生成する
    ことを特徴とする特徴選択装置。
  5. 請求項4に記載の特徴選択装置であって、
    前記評価結果情報を表示装置に表示する画面情報を生成する出力部をさらに備える
    ことを特徴とする特徴選択装置。
  6. 請求項5に記載の特徴選択装置であって、
    前記出力部は、
    前記新特徴が特定された理由として前記所定のルールを前記画面情報に表示する
    ことを特徴とする特徴選択装置。
  7. インシデント判定モデルへの追加候補となる新特徴の評価を行う特徴選択装置の特徴選択方法であって、
    前記特徴選択装置は、
    前記新特徴と、前記インシデント判定モデルの現在の特徴であって前記新特徴に類似する類似現特徴と、の類似度を算出するステップと、
    前記新特徴と、情報セキュリティ上の流行しているサイバー攻撃の特徴であって前記新特徴に類似する関連トレンド特徴と、の類似度を算出するステップと、
    前記関連トレンド特徴と、顧客の特性を示す顧客特性と、の合致度を算出するステップと、
    前記新特徴と前記類似現特徴との類似度と、前記新特徴と前記関連トレンド特徴との類似度と、前記関連トレンド特徴と前記顧客特性との合致度と、を用いて前記新特徴の評価値を算出するステップと、を行う
    ことを特徴とする特徴選択方法。
  8. 請求項7に記載の特徴選択方法であって、
    所定のルールに従って特定した前記新特徴の中から前記評価値に基づき前記新特徴を特定するステップと、
    前記所定のルールに応じた順位を特定した前記新特徴に付与するステップと、
    前記新特徴と、前記評価値と、前記所定のルールと、前記順位とを対応付けた評価結果情報を生成するステップと、を行う
    ことを特徴とする特徴選択方法。
  9. 請求項8に記載の特徴選択方法であって、
    前記特徴選択装置は、
    前記評価結果情報を表示装置に表示する画面情報を生成するステップを行う
    ことを特徴とする特徴選択方法。
JP2018054491A 2018-03-22 2018-03-22 特徴選択装置および特徴選択方法 Active JP6917934B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018054491A JP6917934B2 (ja) 2018-03-22 2018-03-22 特徴選択装置および特徴選択方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018054491A JP6917934B2 (ja) 2018-03-22 2018-03-22 特徴選択装置および特徴選択方法

Publications (2)

Publication Number Publication Date
JP2019168796A JP2019168796A (ja) 2019-10-03
JP6917934B2 true JP6917934B2 (ja) 2021-08-11

Family

ID=68108365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018054491A Active JP6917934B2 (ja) 2018-03-22 2018-03-22 特徴選択装置および特徴選択方法

Country Status (1)

Country Link
JP (1) JP6917934B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7429623B2 (ja) 2020-08-31 2024-02-08 株式会社日立製作所 製造条件設定自動化装置及び方法
WO2024127749A1 (ja) * 2022-12-13 2024-06-20 パナソニックIpマネジメント株式会社 情報検索方法、情報検索装置、および、プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5779334B2 (ja) * 2010-11-09 2015-09-16 デジタルア−ツ株式会社 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム
WO2016147403A1 (ja) * 2015-03-19 2016-09-22 三菱電機株式会社 情報処理装置及び情報処理方法及び情報処理プログラム

Also Published As

Publication number Publication date
JP2019168796A (ja) 2019-10-03

Similar Documents

Publication Publication Date Title
US11765198B2 (en) Selecting actions responsive to computing environment incidents based on severity rating
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US11503034B2 (en) Techniques to automatically update payment information in a compute environment
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US11558408B2 (en) Anomaly detection based on evaluation of user behavior using multi-context machine learning
JP5656136B2 (ja) クラスタリングを使用した行動シグネチャの生成
Shabudin et al. Feature selection for phishing website classification
CN114679329B (zh) 用于基于赝象对恶意软件自动分组的系统
US20150172303A1 (en) Malware Detection and Identification
US20210136120A1 (en) Universal computing asset registry
CN114127720A (zh) 用于多源漏洞管理的系统和方法
Kumar et al. Machine learning based malware detection in cloud environment using clustering approach
US20240231909A1 (en) System and method for universal computer asset normalization and configuration management
CN113010268B (zh) 恶意程序识别方法及装置、存储介质、电子设备
US20200380136A1 (en) Data driven parser selection for parsing event logs to detect security threats in an enterprise system
JP6917934B2 (ja) 特徴選択装置および特徴選択方法
JP2018077607A (ja) セキュリティルール評価装置およびセキュリティルール評価システム
Mohasseb et al. Predicting cybersecurity incidents using machine learning algorithms: A case study of Korean SMEs
Choi et al. All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis
Wei et al. Graph representation learning based vulnerable target identification in ransomware attacks
US20220237302A1 (en) Rule generation apparatus, rule generation method, and computer-readable recording medium
US12088602B2 (en) Estimation apparatus, estimation method and program
JP2017004097A (ja) 情報分析システム、情報分析方法
CN110209558A (zh) 基于软件定义存储的智能运维方法和装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200210

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210622

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210720

R150 Certificate of patent or registration of utility model

Ref document number: 6917934

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250