JP6933302B2 - 学習方法、学習装置及び学習プログラム - Google Patents

学習方法、学習装置及び学習プログラム Download PDF

Info

Publication number
JP6933302B2
JP6933302B2 JP2020521096A JP2020521096A JP6933302B2 JP 6933302 B2 JP6933302 B2 JP 6933302B2 JP 2020521096 A JP2020521096 A JP 2020521096A JP 2020521096 A JP2020521096 A JP 2020521096A JP 6933302 B2 JP6933302 B2 JP 6933302B2
Authority
JP
Japan
Prior art keywords
update
profile
combination
learning
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020521096A
Other languages
English (en)
Other versions
JPWO2019225228A1 (ja
Inventor
悠太 岩城
悠太 岩城
慎吾 折原
慎吾 折原
国雄 宮本
国雄 宮本
楊 鐘本
楊 鐘本
祐一 村田
祐一 村田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2019225228A1 publication Critical patent/JPWO2019225228A1/ja
Application granted granted Critical
Publication of JP6933302B2 publication Critical patent/JP6933302B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)
  • Machine Translation (AREA)

Description

本発明は、学習方法、学習装置及び学習プログラムに関する。
インターネットの普及に伴い、Webサーバに対する攻撃が急増している。攻撃の対策としてIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)等が知られている。これらの技術では、ブラックリストやシグネチャファイルを用いたパターンで検出を行い、既知の攻撃の検知及び防御を行う。
また、未知の攻撃の検出技術として、正常なWebサーバへのリクエストに含まれる所定の値から抽出した特徴を用いてプロファイルの学習を行い、当該プロファイルを用いて分析対象のリクエストが攻撃によるものであるか否かを判定する技術が知られている(例えば、特許文献1を参照)。
国際公開第2015/186662号
しかしながら、従来の技術には、攻撃を検知するためのプロファイルの学習を適切に行うことが難しい場合があるという問題がある。なお、従来の技術は、正常なリクエストは、攻撃によるリクエストに比べて出現頻度が大きいという知見に基づいて学習及び判定を行っている。
例えば、引用文献1に記載の技術では、出現回数が所定の順位以上である特徴を学習の対象として選定する場合がある。この場合、出現回数は十分に多いが、出現回数の順位が低いリクエストから抽出した特徴を学習の対象とすることができず、当該特徴を含むリクエストを分析する際に結果として誤検知となってしまう。
また、単純に出現回数の多い特徴を学習の対象として選定することが考えられる。一方で、攻撃によるリクエストは短期間で大量に発生する場合がある。そのような場合、単純に出現回数の多い特徴を用いてプロファイルの学習を行うと、攻撃に依るリクエストの特徴まで学習してしまい、当該特徴を含むリクエストを分析する際に検知の見逃しが発生してしまうことになる。
本発明の学習方法は、コンピュータによって実行される学習方法であって、所定の期間に発生したサーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成工程と、前記リクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとに、前記組み合わせの出現回数が多いほど大きくなり、前記組み合わせの出現が継続しているほど大きくなるような更新用のスコアを計算する計算工程と、前記リクエストが攻撃であるか否かを判定するための前記組み合わせごとのプロファイルを、前記更新用のスコアを基に更新する更新工程と、を含むことを特徴とする。
本発明によれば、攻撃を検知するためのプロファイルの学習を適切に行うことができる。
図1は、第1の実施形態に係る学習装置の構成の一例を示す図である。 図2は、第1の実施形態に係る学習処理及び検知処理について説明するための図である。 図3は、第1の実施形態に係る学習装置の計算処理について説明するための図である。 図4は、第1の実施形態に係るプロファイル出力用一時データの一例を示す図である。 図5は、第1の実施形態に係るプロファイルの更新処理について説明するための図である。 図6は、第1の実施形態に係るプロファイルの更新処理について説明するための図である。 図7は、第1の実施形態に係るプロファイルの更新処理について説明するための図である。 図8は、第1の実施形態に係る学習装置の計算処理の流れを示すフローチャートである。 図9は、第1の実施形態に係る学習装置の更新処理の流れを示すフローチャートである。 図10は、第2の実施形態に係るプロファイル出力用一時データの一例を示す図である。 図11は、第2の実施形態に係るプロファイルの更新処理について説明するための図である。 図12は、第2の実施形態に係るプロファイルの更新処理について説明するための図である。 図13は、第2の実施形態に係るプロファイルの更新処理について説明するための図である。 図14は、第2の実施形態に係る学習装置の計算処理の流れを示すフローチャートである。 図15は、第2の実施形態に係る学習装置の更新処理の流れを示すフローチャートである。 図16は、第3の実施形態に係るプロファイル出力用一時データの一例を示す図である。 図17は、第3の実施形態に係るプロファイルの更新処理について説明するための図である。 図18は、第3の実施形態に係るプロファイルの更新処理について説明するための図である。 図19は、第3の実施形態に係るプロファイルの更新処理について説明するための図である。 図20は、その他の実施形態に係るプロファイルの更新処理について説明するための図である。 図21は、その他の実施形態に係るプロファイルの更新処理について説明するための図である。 図22は、実施形態に係る学習プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る学習方法、学習装置及び学習プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る学習装置の構成について説明する。図1は、第1の実施形態に係る学習装置の構成の一例を示す図である。学習装置10は、サーバへのリクエストとの類似度に基づき、当該リクエストが攻撃であるか否かを判定するためのプロファイル14の学習を行う。また、学習装置10は、プロファイル14を用いて攻撃であるリクエストの検知を行う。図1に示すように、学習装置10は、入力部11及び制御部12を有し、検知結果13及びプロファイル14を記憶する。
入力部11は、学習装置10における学習又は分析のためのデータの入力を受け付ける。入力部11は、分析対象データ入力部111及び学習データ入力部112を有する。分析対象データ入力部111は、分析対象データ201の入力を受け付ける。また、学習データ入力部112は、学習データ202の入力を受け付ける。
ここで、分析対象データ201及び学習データ202は、例えば、Webサイトへのアクセスの際に生成されるHTTPリクエストである。また、学習データ202は、攻撃であるか否かがあらかじめ判明しているHTTPリクエストであってもよい。
制御部12は、生成部121、検知部124及び保存部125を有する。また、生成部121は、抽出部122及び変換部123を有する。また、保存部125は、計算部126及び更新部127を有する。
生成部121は、サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する。ここで、サーバへのリクエストは、HTTPリクエストであるものとする。以降、単にリクエストと記載した場合、HTTPリクエストが含まれるものとする。生成部121は、抽出部122及び変換部123の処理によって文字クラス列を生成する。
抽出部122は、入力部11に入力された分析対象データ201及び学習データ202からパラメータを抽出する。具体的には、抽出部122は、各HTTPリクエストから、パス、パラメータのキー及びキーに対応するバリューを抽出する。ここで、バリューは、所定の文字列の一例である。
例えば、学習データ202に「http://example.com/index.php?id=03&file=Top001.png」というURLが含まれている場合、抽出部122は、パスとして「index.php」を抽出し、キーとして「id」及び「file」を抽出し、キーに対応するバリューとして、「03」及び「Top001.png」を抽出する。
また、変換部123は、抽出部122によって抽出されたバリューを文字クラス列に変換する。例えば、変換部123は、抽出部122によって抽出されたバリューである「03」及び「Top001.png」を文字クラス列に変換する。
変換部123は、例えば、バリューの数字で構成される部分を「numeric」、アルファベットで構成される部分を「alpha」、記号で構成される部分を「symbol」に置き換えることで文字クラス列への変換を行う。変換部123は、例えば、バリュー「03」を文字クラス列「(numeric)」に変換する。また、変換部123は、例えば、バリュー「Top001.png」を文字クラス列「(alpha, numeric, symbol, alpha)」に変換する。
検知部124は、リクエストのうち、分析用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせをプロファイル14と照合し、異常を検知する。また、本実施形態において、所定の識別情報は、抽出部122によって抽出されたパス及びキーの組み合わせである。
具体的には、検知部124は、変換部123等から受け取ったパス、キー及び文字クラス列と、プロファイル14との類似度を計算し、計算した類似度を閾値と比較すること等により攻撃の検知を行う。例えば、検知部124は、ある分析対象データ201のパス、キー及び文字クラス列と、プロファイル14との類似度が閾値以下である場合、当該分析対象データ201を攻撃として検知する。また、検知部124は、検知結果13を出力する。
保存部125は、リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせごとの出現頻度をプロファイル14として保存する。具体的には、保存部125は、変換部123から受け取ったパス、キー及び文字クラス列ごとの出現頻度をプロファイル14として保存する。またこの時、パス及びキーに対応する各文字クラス列についてそれぞれの出現頻度を基に判定した当該文字クラス列のステータスもプロファイル14として保存する。
また、計算部126は、パス、キー及び文字クラス列の組み合わせの出現回数を基に、プロファイル14に保存される出現頻度を計算する。また、更新部127は、計算部126によって計算された出現頻度を基にプロファイル14を更新する。計算部126及び更新部127の詳細な処理の内容については後述する。なお、プロファイル14を更新することは、所定のデータをプロファイル14として保存することと同意である。
ここで、図2を用いて、学習装置10によって行われる学習処理及び検知処理について説明する。図2は、第1の実施形態に係る学習処理及び検知処理について説明するための図である。
まず、学習データ202には、URL「http://example.com/index.php?file=Img.jpg」、「http://example.com/index.php?file=Test.png」及び「http://example.com/index.php?file=Top001.png」が含まれているとする。また、分析対象データ201には、URL「http://example.com/index.php?file=Test011.jpg」及び「http://example.com/index.php?file=Test_011.jpg' or '1'='1」が含まれているとする。
このとき、抽出部122は、学習データ202から、バリュー「Img.jpg」、「Test.png」及び「Top001.png」を抽出する。また、抽出部122は、分析対象データ201から、バリュー「Test011.jpg」及び「Test_011.jpg' or '1'='1」を抽出する。
次に、図2に示すように、変換部123は、バリュー「Img.jpg」、「Test.png」及び「Top001.png」をそれぞれ、文字クラス列「(alpha, symbol, alpha)」、「(alpha, symbol, alpha)」及び「(alpha, numeric, symbol, alpha)」に変換する。
また、変換部123は、バリュー「Test011.jpg」及び「Test_011.jpg' or '1'='1」を、それぞれ文字クラス列「(alpha, numeric, symbol, alpha)」及び「(alpha, symbol, numeric, symbol, alpha, symbol, space, alpha, space, symbol, numeric, symbol, numeric)」に変換する。
ここで、alphaは英字全体を、numericは数字全体を、symbolは記号全体を、spaceは空白文字を表す文字クラスであるとする。文字クラスの定義はあらかじめ与えられているものとし、ここで例示したalpha、numeric、symbol、space以外の文字クラスが定義されていてもよい。
次に、検知部124は、分析対象データ201からの文字クラス列「(alpha, numeric, symbol, alpha)」及び「(alpha, symbol, numeric, symbol, alpha, symbol, space, alpha, space, symbol, numeric, symbol, numeric)」に対応するパスとキーを組み合わせたデータとプロファイル14との類似度を計算し、攻撃の検知を行う。
また、保存部125は、学習データ202に含まれるURLのパス「index.php」及びキー「file」に対応する文字クラス列のうち、例えば「(alpha, symbol, alpha)」を有効なステータスである文字クラス列としてプロファイル14に保存する。
計算部126及び更新部127の処理について説明する。まず、計算部126は、リクエストに含まれる所定の識別情報及び文字クラス列の組み合わせごとに、組み合わせの出現回数が多いほど大きくなり、組み合わせの出現が継続しているほど大きくなるような更新用のスコアを計算する。本実施形態では、計算部126は、組み合わせの出現が所定の期間の中で継続しているほど大きくなるように更新用のスコアを計算する。ここで、計算部126によって計算される更新用のスコアは、前述したプロファイル14の更新に用いられる出現頻度である。
図3を用いて、計算部126による計算処理について説明する。図3は、第1の実施形態に係る学習装置の計算処理について説明するための図である。図3の例では、計算部126は、出現回数の補正値を更新用のスコアとして計算する。
図3に示すように、まず、計算部126は、生成部121によって生成された文字クラス列を基に、パス、パラメータのキー、文字クラス列の組み合わせごとの出現回数を、1日のうちの所定の時間ブロックごとに集計する。
図3は、例えば、組み合わせAが、0:00〜4:00の間に0回、4:00〜8:00の間に5回、8:00〜12:00の間に45回、12:00〜16:00の間に30回、16:00〜20:00の間に10回、20:00〜24:00の間に0回出現したことを示している。
そして、計算部126は、各組み合わせについて、各時間ブロックの出現回数の合計に、ブロックの総数に対する当該組み合わせが出現したブロックの数の割合を掛けた値を、出現回数の補正値として計算する。例えば、計算部126は、組み合わせAの出現回数の補正値を、90×4/6=60と計算する。同様に、計算部126は、組み合わせBの出現回数の補正値を、120×1/6=20と計算する。
このため、本実施形態では、出現回数の補正値は、各組み合わせの出現回数が多いほど大きくなる。さらに、本実施形態では、出現回数の補正値は、各組み合わせの出現が1日の中で継続しているほど大きくなる。
また、図3の例では、組み合わせBの方が組み合わせAに比べて出現回数が多いが、組み合わせAの方が継続性は高いため、最終的なスコアでは組み合わせAが組み合わせBを上回っている。
更新部127は、リクエストが攻撃であるか否かを判定するための組み合わせごとのプロファイルを、更新用のスコアを基に更新する。本実施形態では、更新部127は、計算部126によって計算された出現回数の補正値を用いてプロファイル14を更新する。
まず、更新部127は、プロファイル14を読み込み、プロファイル出力用一時データを初期化する。図4は、第1の実施形態に係るプロファイル出力用一時データの一例を示す図である。図4に示すように、更新部127は、プロファイル14をプロファイル出力用一時データに反映させることで初期化を行う。
次に、更新部127は、計算部126によって計算された出現回数の補正値を用いて、プロファイル出力用一時データを更新する。図5、図6及び図7を用いて、プロファイル14の更新処理について説明する。図5、図6及び図7は、第1の実施形態に係るプロファイルの更新処理について説明するための図である。
図5に示すように、パス、パラメータのキー及び文字列クラスがプロファイル出力用一時データに存在する場合、更新部127は、当該組み合わせに対応するプロファイル出力用一時データの出現回数に、計算部126によって計算された出現回数の補正値を加える。例えば、パスが「path1」、パラメータのキーが「param1」、文字クラス列が「文字クラス列2」である組み合わせはプロファイル出力用一時データに存在するため、更新部127は、当該組み合わせの出現回数0に、計算部126によって計算された出現回数の補正値30を加える。
一方、図6に示すように、パス、パラメータのキー及び文字列クラスがプロファイル出力用一時データに存在しない場合、更新部127は、当該組み合わせに対応するレコードをプロファイル出力用一時データに追加する。なお、追加されたレコードのステータスは未設定のままとする。例えば、パスが「path2」、パラメータのキーが「param2」、文字クラス列が「文字クラス列4」である組み合わせはプロファイル出力用一時データに存在しないため、更新部127は、当該組み合わせに対応するレコードをプロファイル出力用一時データに追加する。
ここで、本実施形態では、プロファイル14には、ステータスとして「有効」、「準無効」、「無効」及び未設定が存在する。検知部124は、ステータスが「有効」であるプロファイル14を用いて検知を行う。
ここで、更新部127は、以下のルールに従って、プロファイル出力用一時データのステータス及び出現回数を更新する。
(ルール1−1)
更新前のステータスが「有効」である場合、ステータスを「有効」のままとする。
(ルール1−2)
更新前のステータスが「準無効」であって、出現回数が閾値以上である場合、ステータスを「有効」に更新する。
(ルール1−3)
更新前のステータスが「準無効」であって、出現回数が閾値未満である場合、ステータスを「準無効」のままとし、出現回数を0に更新する。
(ルール1−4)
更新前のステータスが「無効」であって、出現回数が閾値以上である場合、ステータスを「準無効」に更新し、出現回数を0に更新する。
(ルール1−5)
更新前のステータスが「無効」であって、出現回数が閾値未満である場合、ステータスを「無効」のままとし、出現回数を0に更新する。
(ルール1−6)
更新前のステータスが未設定である場合、ステータスを「無効」とし、出現回数を0に更新する。
例えば、閾値が30である場合、更新部127は、図7のようにステータスを更新する。図7の例では、パスが「path1」、パラメータのキーが「param1」、文字クラス列が「文字クラス列1」である組み合わせは、更新前のステータスが「有効」であるため、更新部127は、当該組み合わせのステータスを「有効」のままとする。また、パスが「path1」、パラメータのキーが「param1」、文字クラス列が「文字クラス列2」である組み合わせは、更新前のステータスが「準無効」であり、出現回数が閾値以上であるため、更新部127は、当該組み合わせのステータスを「有効」に更新する。
そして、更新部127は、更新したプロファイル出力用一時データで、プロファイル14を更新する。例えば、更新部127は、プロファイル出力用一時データから作成したプロファイル14を、既存のプロファイル14と置き換える。
このように、更新部127は、プロファイル14に含まれる出現回数に更新用のスコアを加算した値が所定の閾値以上である場合、プロファイル14に含まれるステータスを段階的に上げ、さらに、ステータスが所定の段階以下である場合は、出現回数を0に更新し既存のプロファイル14の出現回数と置き換える。
[第1の実施形態の処理]
図8を用いて、学習装置10の計算処理の流れについて説明する。図8は、第1の実施形態に係る学習装置の計算処理の流れを示すフローチャートである。図8に示すように、まず、計算部126は、入力データを取得する(ステップS101)。ここで、計算部126が取得する入力データは、パス、パラメータのキー及び文字クラス列の組み合わせである。
次に、計算部126は、出現回数を集計する(ステップS102)。ここで、計算部126は、集計した出現回数を基に、出現回数の補正値を計算する(ステップS103)。そして、計算部126は、処理結果データを出力する(ステップS104)。具体的には、計算部126は、計算結果を更新部127に受け渡す。
図9を用いて、学習装置10の更新処理の流れについて説明する。図9は、第1の実施形態に係る学習装置の更新処理の流れを示すフローチャートである。図9に示すように、まず、更新部127は、入力データを取得する(ステップS151)。ここで、更新部127が取得する入力データは、計算部126によって計算された、パス、パラメータのキー及び文字クラス列の組み合わせごとの出現回数の補正値である。
次に、更新部127は、プロファイル出力用一時データを初期化する(ステップS152)。ここで、初回学習でない場合(ステップS153、No)、プロファイル14は作成済みのため、更新部127は、プロファイル14を読み込む(ステップS154)。この時点で、初回学習である場合(ステップS153、Yes)でも、初回学習でない場合(ステップS153、No)でも、プロファイル出力用一時データは、プロファイル14を反映している。
ここから、更新部127は、入力データを1件ずつループして処理していく(ステップS155)。入力データのパス、パラメータのキー及び文字クラス列の組み合わせが、プロファイル出力用一時データに存在する場合(ステップS156、Yes)、更新部127は、プロファイル出力用一時データのレコードを更新する(ステップS157)。一方、入力データのパス、パラメータのキー及び文字クラス列の組み合わせが、プロファイル出力用一時データに存在しない場合(ステップS156、No)、更新部127は、プロファイル出力用一時データにレコードを追加する(ステップS158)。
そして、更新部127は、プロファイル出力用一時データのステータス及び出現回数を更新する(ステップS159)。具体的には、更新部127は、前述のルール1−1からルール1−6に従ってステータス及び出現回数の更新を行う。入力データの全てについて更新処理が終了した場合、更新部127は、ループを終了する(ステップS160)。そして、更新部127は、処理結果データを出力する(ステップS161)。具体的には、更新部127は、プロファイル出力用一時データを用いてプロファイル14を更新する。
[第1の実施形態の効果]
学習装置10は、所定の期間に発生したサーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する。また、学習装置10は、リクエストに含まれる所定の識別情報及び文字クラス列の組み合わせごとに、組み合わせの出現回数が多いほど大きくなり、組み合わせの出現が継続しているほど大きくなるような更新用のスコアを計算する。また、学習装置10は、リクエストが攻撃であるか否かを判定するための組み合わせごとのプロファイル14を、更新用のスコアを基に更新する。このように、本実施形態では、パターンの単純な出現回数だけでなく、継続性を考慮したプロファイルの学習を行っているため、攻撃を検知するためのプロファイルの学習を適切に行うことができる。
学習装置10は、組み合わせの出現が所定の期間の中で継続しているほど大きくなるように更新用のスコアを計算することができる。このように、本実施形態では、期間内での継続性を計算することができるため、パターンが出現するサイクルを考慮した学習が可能になる。
更新部127は、プロファイル14に含まれる出現回数に更新用のスコアを加算した値が所定の閾値以上である場合、プロファイル14に含まれるステータスを段階的に上げ、さらに、ステータスが所定の段階以下である場合は、出現回数を0に更新し既存のプロファイル14の出現回数と置き換える。これにより、学習装置10は、ステータスが急に変化することを防止することができる。
[第2の実施形態]
第1の実施形態では、学習装置10は、パス、パラメータのキー、文字クラス列の組み合わせごとの出現回数を、所定の期間(例えば、1日)のうちの所定の時間ブロックごとに集計し、更新用のスコアを計算し、プロファイル14を更新していた。一方で、第2の実施形態では、学習装置10は、パス、パラメータのキー、文字クラス列の組み合わせごとの出現回数及び、各組み合わせが出現した所定の期間の数を基に更新用のスコアを計算し、プロファイル14を更新する。
第2の実施形態の学習装置10は、第1の実施形態の場合と同様の構成を有する。ただし、第2の実施形態では、学習装置10の一部の処理部が第1の実施形態とは異なる処理を行う。第2の実施形態において第1の実施形態と同様の処理を行う処理部については説明を省略する。
まず、更新部127は、プロファイル14を読み込み、プロファイル出力用一時データを初期化する。図10は、第2の実施形態に係るプロファイル出力用一時データの一例を示す図である。図10に示すように、更新部127は、プロファイル14をプロファイル出力用一時データに反映させることで初期化を行う。
ここで、第2の実施形態では、プロファイル14には出現学習回数が含まれる。出現学習回数は、学習が行われた回数である。つまり、出現学習回数は、各レコードが追加された後、更新が行われた回数ということができる。例えば、学習装置10に、1日1回学習データ202が入力され、毎回更新が行われたプロファイル14のレコードの出現学習回数は学習を行った日数ということができる。
次に、更新部127は、生成部121によって生成された文字クラス列を基に、パス、パラメータのキー、文字クラス列の組み合わせごとの出現回数を用いて、プロファイル出力用一時データを更新する。図11、図12及び図13を用いて、プロファイル14の更新処理について説明する。図11、図12及び図13は、第2の実施形態に係るプロファイルの更新処理について説明するための図である。
図11に示すように、パス、パラメータのキー及び文字列クラスがプロファイル出力用一時データに存在する場合、更新部127は、当該組み合わせに対応するプロファイル出力用一時データの出現回数に、生成部121から受け取った出現回数を加え、プロファイル出力用一時データの出現学習回数に1を加算する。例えば、パスが「pathA」、パラメータのキーが「paramA」、文字クラス列が「文字クラス列A」である組み合わせはプロファイル出力用一時データに存在するため、更新部127は、当該組み合わせの出現回数100に、生成部121から受け取った出現回数5を加え、出現学習回数4に1を加算する。
一方、図12に示すように、パス、パラメータのキー及び文字列クラスがプロファイル出力用一時データに存在しない場合、更新部127は、当該組み合わせに対応するレコードをプロファイル出力用一時データに追加し、出現学習回数を1に設定する。なお、追加されたレコードのステータスは未設定のままとする。例えば、パスが「pathA」、パラメータのキーが「paramA」、文字クラス列が「文字クラス列C」である組み合わせはプロファイル出力用一時データに存在しないため、更新部127は、当該組み合わせに対応するレコードをプロファイル出力用一時データに追加し、出現学習回数を1に設定する。
ここで、計算部126は、組み合わせが出現した期間の数が多いほど大きくなるように更新用のスコアを計算する。具体的には、計算部126は、出現学習回数に応じて、プロファイル出力用一時データの出現回数を補正する。
図13を用いて、計算部126による計算処理について説明する。図13は、第2の実施形態に係る学習装置の計算処理について説明するための図である。図13の例では、計算部126は、補正後の出現回数を更新用のスコアとして計算する。
ここで、計算部126は、以下のルールに従って補正後の出現回数を計算する。また、あらかじめ学習回数の閾値が定められており、学習回数が閾値を超えていない場合、計算部126は補正を行わない。
(ルール2−1)
更新前のステータスが「有効」である場合、出現回数をそのまま補正後の出現回数とする。
(ルール2−2)
更新前のステータスが「有効」以外である場合、出現回数に、学習回数の閾値に1を加算した値に対する出現学習回数の割合を掛けた値を補正後の出現回数とする。
例えば、学習回数の閾値が6である場合、計算部126は、図13のようにステータスを更新する。図7の例では、パスが「pathA」、パラメータのキーが「paramA」、文字クラス列が「文字クラス列A」である組み合わせは、ステータスが「有効」以外であるため、計算部126は、補正後の出現回数を、105×(5/(6+1))=75と計算する。
ここで、更新部127は、プロファイル出力用一時データのステータス及び出現回数を更新する。ここでは、更新部127は、第1の実施形態と同様に、前述のルール1−1からルール1−6に従ってステータス及び出現回数の更新を行う。なお、ここで更新される出現回数は、補正後の出現回数である。そして、更新部127は、更新後のプロファイル出力用一時データで、プロファイル14を更新する。例えば、更新部127は、プロファイル出力用一時データから作成したプロファイル14を、既存のプロファイル14と置き換える。
[第2の実施形態の処理]
図14を用いて、学習装置10の計算処理の流れについて説明する。図14は、第2の実施形態に係る学習装置の計算処理の流れを示すフローチャートである。図14に示すように、まず、計算部126は、入力データを取得する(ステップS201)。ここで、計算部126が取得する入力データは、パス、パラメータのキー及び文字クラス列の組み合わせである。
次に、計算部126は、出現回数を集計する(ステップS202)。そして、計算部126は、処理結果データを出力する(ステップS203)。具体的には、計算部126は、計算結果を更新部127に受け渡す。
図15を用いて、学習装置10の更新処理の流れについて説明する。図15は、第2の実施形態に係る学習装置の更新処理の流れを示すフローチャートである。図15に示すように、まず、更新部127は、入力データを取得する(ステップS251)。ここで、更新部127が取得する入力データは、計算部126から受け取った、パス、パラメータのキー及び文字クラス列の組み合わせごとの出現回数である。
次に、更新部127は、プロファイル出力用一時データを初期化する(ステップS252)。ここで、初回学習でない場合(ステップS253、No)、プロファイル14は作成済みのため、更新部127は、プロファイル14を読み込む(ステップS254)。この時点で、初回学習である場合(ステップS253、Yes)でも、初回学習でない場合(ステップS253、No)でも、プロファイル出力用一時データは、プロファイル14を反映している。
ここから、更新部127は、入力データを1件ずつループして処理していく(ステップS255)。入力データのパス、パラメータのキー及び文字クラス列の組み合わせが、プロファイル出力用一時データに存在する場合(ステップS256、Yes)、更新部127は、プロファイル出力用一時データのレコードを更新する(ステップS257)。一方、入力データのパス、パラメータのキー及び文字クラス列の組み合わせが、プロファイル出力用一時データに存在しない場合(ステップS256、No)、更新部127は、プロファイル出力用一時データにレコードを追加する(ステップS258)。
そして、学習回数があらかじめ定めた回数に達している場合(ステップS259、Yes)、計算部126は、出現学習回数を基にプロファイル出力用一時データの出現回数を補正する(ステップS260)。その後、更新部127は、プロファイル出力用一時データのステータス及び出現回数を更新する(ステップS261)。具体的には、更新部127は、第1の実施形態と同様に、前述のルール1−1からルール1−6に従ってステータス及び出現回数の更新を行う。学習回数があらかじめ定めた回数に達していない場合(ステップS259、No)、更新部127は、次のループへ進む。
入力データの全てについて更新処理が終了した場合、更新部127は、ループを終了する(ステップS262)。そして、更新部127は、処理結果データを出力する(ステップS263)。具体的には、更新部127は、プロファイル出力用一時データを用いてプロファイル14を更新する。
[第2の実施形態の効果]
計算部126は、組み合わせが出現した期間の数が多いほど大きくなるように更新用のスコアを計算する。これにより、学習装置10は、長期にわたって継続して出現しているリクエストをより正常なものとみなしてプロファイルを更新していくことができる。
[第3の実施形態]
これまで、学習装置10が、出現回数及び更新前のステータスに基づいてステータスを更新する場合について説明した。一方で、ステータスの更新は、プロファイル14の最終更新日に基づいて行われてもよい。第3の実施形態では、学習装置10が、プロファイル14の最終更新日に基づいてステータスの更新を行う場合について説明する。
第3の実施形態の学習装置10は、第1の実施形態の場合と同様の構成を有する。ただし、第3の実施形態では、学習装置10の一部の処理部が第1の実施形態とは異なる処理を行う。第3の実施形態において第1の実施形態と同様の処理を行う処理部については説明を省略する。
まず、更新部127は、プロファイル14を読み込み、プロファイル出力用一時データを初期化する。図16は、第3の実施形態に係るプロファイル出力用一時データの一例を示す図である。図16に示すように、更新部127は、プロファイル14をプロファイル出力用一時データに反映させることで初期化を行う。ここで、第3の実施形態では、プロファイル14には最終学習データ出現日が含まれる。最終学習データ出現日は、当該レコードが最後に更新された日時である。
次に、更新部127は、生成部121によって生成された文字クラス列を基に、パス、パラメータのキー、文字クラス列の組み合わせごとの出現回数を用いて、プロファイル出力用一時データを更新する。図17、図18及び図19を用いて、プロファイル14の更新処理について説明する。図17、図18及び図19は、第3の実施形態に係るプロファイルの更新処理について説明するための図である。
図17に示すように、パス、パラメータのキー及び文字列クラスがプロファイル出力用一時データに存在する場合、更新部127は、当該組み合わせに対応するプロファイル出力用一時データの出現回数に、生成部121から受け取った出現回数を加える。さらに、更新部127は、最終学習データ出現日を更新時の日付に更新する。
例えば、パスが「pathA」、パラメータのキーが「paramA」、文字クラス列が「文字クラス列A」である組み合わせはプロファイル出力用一時データに存在するため、更新部127は、当該組み合わせの出現回数100に、生成部121から受け取った出現回数5を加え、最終学習データ出現日を更新時の日付「2017/12/22」に更新する。
なお、更新時とは、更新部127が更新処理を行っている時点の日時である。また、更新部127は、最終学習データ出現日を当該データのリクエストが発生した日時等に更新するようにしてもよい。
一方、図18に示すように、パス、パラメータのキー及び文字列クラスがプロファイル出力用一時データに存在しない場合、更新部127は、当該組み合わせに対応するレコードをプロファイル出力用一時データに追加する。このとき、更新部127は、最終学習データ出現日を追加時の日付に更新する。なお、追加されたレコードのステータスは未設定のままとする。
例えば、パスが「pathA」、パラメータのキーが「paramA」、文字クラス列が「文字クラス列C」である組み合わせはプロファイル出力用一時データに存在しないため、更新部127は、当該組み合わせに対応するレコードをプロファイル出力用一時データに追加し、最終学習データ出現日をレコード追加時の日付「2017/12/22」に更新する。
ここで、更新部127は、図19に示すように、プロファイル出力用一時データのステータスを更新する。このとき、更新部127は、最終学習データ出現日が、更新時よりも所定の日数以上過去である場合、ステータスを「無効」に更新する。また、更新部127は、ステータスを「無効」に更新するとともに、出現回数を0にリセットしてもよい。このように、更新部127は、プロファイル14の最終更新日時が、所定の日時よりも過去である場合、プロファイル14を無効化する。
さらに、更新部127は、上記の最終更新日時に基づく更新において無効化されなかったレコードについては、第1の実施形態と同様に、前述のルール1−1からルール1−6に従ってステータス及び出現回数の更新を行う。そして、更新部127は、更新後のプロファイル出力用一時データで、プロファイル14を更新する。例えば、更新部127は、プロファイル出力用一時データから作成したプロファイル14を、既存のプロファイル14と置き換える。
[第3の実施形態の効果]
計算部126は、組み合わせが一定の期間以上出現しなくなったプロファイル14を無効化する。これにより、学習装置10は、時間の経過により有効でなくなったプロファイル14の影響を受けることなく検知を行うことができる。
[その他の実施形態]
上記の実施形態では、プロファイル14のステータスとして、「有効」、「準無効」、「無効」及び未設定が存在することとしたが、ステータスの種類はこれに限定されない。例えば、図20に示すように、「有効」、「無効」、未設定のみが存在していてもよい。図20は、その他の実施形態に係るプロファイルの更新処理について説明するための図である。この場合、更新部127は、出現回数が閾値以上であれば常にステータスを「有効」に更新し、出現回数が閾値未満であれば常にステータスを「無効」に更新することができる。また、「有効」、「第1段階の準無効」、「第2の段階の準無効」、「無効」及び未設定のように、さらに多段階のステータスの種類が存在していてもよい。
また、更新部127は、識別情報及び文字クラス列の組み合わせがあらかじめ設定されたリストに含まれている場合、プロファイル14を無効化する。例えば、図21に示すように、パス、パラメータのキー及び文字クラス列が学習対象外文字クラスリストに掲載されたものである場合、更新部127は、常にステータスを「無効」に更新する。なお、パス、パラメータのキー及び文字クラス列は、識別情報の一例である。例えば、学習対象外文字クラスリストは、攻撃であることが既知のリクエストに基づいて作成されるブラックリストである。
さらに、更新部127は、上記の学習対象外文字クラスリストに基づく更新において無効化されなかったレコードについては、第1の実施形態と同様に、前述のルール1−1からルール1−6に従ってステータス及び出現回数の更新を行う。そして、更新部127は、更新後のプロファイル出力用一時データで、プロファイル14を更新する。
なお、実施形態では、プロファイル14を表形式で表しているが、プロファイル14のデータの記憶形式としては表形式の他、JSON(JavaScript(登録商標) Object Notation)形式やMySQL、PostgreSQL等のデータベースを用いて記憶してもよい。また、分析対象データ201、学習データ202は、いずれもHTTPリクエストを複数含むデータであり、例えばWebサーバのアクセスログやアクセスログをパース又は変換したJSON形式のデータであってもよい。また、説明した計算部126や更新部127による各処理は、単独で用いられてもよいし、適宜組み合わせて用いられてもよい。
[プログラム]
一実施形態として、学習装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の学習を実行する学習プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の学習プログラムを情報処理装置に実行させることにより、情報処理装置を学習装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、学習装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の学習に関するサービスを提供する学習サーバ装置として実装することもできる。例えば、学習サーバ装置は、更新前のプロファイル及び分析対象のHTTPリクエストを入力とし、更新済みのプロファイルを出力とする学習サービスを提供するサーバ装置として実装される。この場合、学習サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の学習に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図22は、実施形態に係る学習プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、学習装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、学習装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 学習装置
11 入力部
12 制御部
13 検知結果
14 プロファイル
111 分析対象データ入力部
112 学習データ入力部
121 生成部
122 抽出部
123 変換部
124 検知部
125 保存部
126 計算部
127 更新部
201 分析対象データ
202 学習データ

Claims (8)

  1. コンピュータによって実行される学習方法であって、
    所定の期間に発生したサーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成工程と、
    前記リクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとに、前記組み合わせの出現回数が多いほど大きくなり、前記組み合わせの出現が継続しているほど大きくなるような更新用のスコアを計算する計算工程と、
    前記リクエストが攻撃であるか否かを判定するための前記組み合わせごとのプロファイルを、前記更新用のスコアを基に更新する更新工程と、
    を含むことを特徴とする学習方法。
  2. 前記計算工程は、前記組み合わせの出現が前記所定の期間の中で継続しているほど大きくなるように前記更新用のスコアを計算することを特徴とする請求項1に記載の学習方法。
  3. 前記計算工程は、前記組み合わせが出現した期間の数が多いほど大きくなるように前記更新用のスコアを計算することを特徴とする請求項1に記載の学習方法。
  4. 前記更新工程は、前記プロファイルに含まれる出現回数に前記更新用のスコアを加算した値が閾値以上である場合、前記プロファイルに含まれるステータスを段階的に上げ、さらに、前記ステータスが所定の段階以下である場合、前記出現回数を0とすることを特徴とする請求項1から3のいずれか1項に記載の学習方法。
  5. 前記更新工程は、前記識別情報及び前記文字クラス列の組み合わせがあらかじめ設定されたリストに含まれている場合、前記プロファイルを無効化することを特徴とする請求項4に記載の学習方法。
  6. 前記更新工程は、前記プロファイルの最終更新日時が、所定の日時よりも過去である場合、前記プロファイルを無効化することを特徴とする請求項4に記載の学習方法。
  7. 所定の期間に発生したサーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成部と、
    前記リクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとに、前記組み合わせの出現回数が多いほど大きくなり、前記組み合わせの出現が継続しているほど大きくなるような更新用のスコアを計算する計算部と、
    前記リクエストが攻撃であるか否かを判定するための前記組み合わせごとのプロファイルを、前記更新用のスコアを基に更新する更新部と、
    を有することを特徴とする学習装置。
  8. コンピュータに、
    所定の期間に発生したサーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成ステップと、
    前記リクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとに、前記組み合わせの出現回数が多いほど大きくなり、前記組み合わせの出現が継続しているほど大きくなるような更新用のスコアを計算する計算ステップと、
    前記リクエストが攻撃であるか否かを判定するための前記組み合わせごとのプロファイルを、前記更新用のスコアを基に更新する更新ステップと、
    を実行させることを特徴とする学習プログラム。
JP2020521096A 2018-05-21 2019-04-16 学習方法、学習装置及び学習プログラム Active JP6933302B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018097451 2018-05-21
JP2018097451 2018-05-21
PCT/JP2019/016386 WO2019225228A1 (ja) 2018-05-21 2019-04-16 学習方法、学習装置及び学習プログラム

Publications (2)

Publication Number Publication Date
JPWO2019225228A1 JPWO2019225228A1 (ja) 2020-12-10
JP6933302B2 true JP6933302B2 (ja) 2021-09-08

Family

ID=68616313

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020521096A Active JP6933302B2 (ja) 2018-05-21 2019-04-16 学習方法、学習装置及び学習プログラム

Country Status (3)

Country Link
US (1) US12028352B2 (ja)
JP (1) JP6933302B2 (ja)
WO (1) WO2019225228A1 (ja)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4156540B2 (ja) * 2004-02-23 2008-09-24 Kddi株式会社 ログ分析装置、ログ分析プログラムおよび記録媒体
JP4130445B2 (ja) * 2005-03-29 2008-08-06 株式会社東芝 異常データ検出装置、異常データ検出プログラム及び異常データ検出方法
US9230212B2 (en) * 2012-02-02 2016-01-05 Peel Technologies, Inc. Content based recommendation system
CN106415507B (zh) 2014-06-06 2019-05-21 日本电信电话株式会社 日志分析装置、攻击检测装置、攻击检测方法以及程序
US10469514B2 (en) * 2014-06-23 2019-11-05 Hewlett Packard Enterprise Development Lp Collaborative and adaptive threat intelligence for computer security
US9680832B1 (en) * 2014-12-30 2017-06-13 Juniper Networks, Inc. Using a probability-based model to detect random content in a protocol field associated with network traffic
JP6258553B2 (ja) * 2015-02-20 2018-01-10 日本電信電話株式会社 ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム
US9792169B2 (en) * 2015-07-29 2017-10-17 Quest Software Inc. Managing alert profiles
US10609079B2 (en) * 2015-10-28 2020-03-31 Qomplx, Inc. Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US9946627B2 (en) * 2016-08-08 2018-04-17 International Business Machines Corporation Managing logger source code segments
US11106994B1 (en) * 2016-09-30 2021-08-31 Amazon Technologies, Inc. Tuning of machine learning models using accuracy metrics selected to increase performance
US10887341B2 (en) * 2017-03-06 2021-01-05 Radware, Ltd. Detection and mitigation of slow application layer DDoS attacks

Also Published As

Publication number Publication date
US12028352B2 (en) 2024-07-02
US20210203677A1 (en) 2021-07-01
WO2019225228A1 (ja) 2019-11-28
JPWO2019225228A1 (ja) 2020-12-10

Similar Documents

Publication Publication Date Title
RU2758041C2 (ru) Постоянное обучение для обнаружения вторжения
Cai et al. JOWMDroid: Android malware detection based on feature weighting with joint optimization of weight-mapping and classifier parameters
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
JP6560451B2 (ja) 悪性通信ログ検出装置、悪性通信ログ検出方法、悪性通信ログ検出プログラム
JP2019003596A (ja) 静的分析の要素を用いた悪質なファイルを検出するためのシステム及び方法
US20190182283A1 (en) Log analysis device, log analysis method, and log analysis program
Dowling et al. Improving adaptive honeypot functionality with efficient reinforcement learning parameters for automated malware
JP6933302B2 (ja) 学習方法、学習装置及び学習プログラム
JP6935849B2 (ja) 学習方法、学習装置及び学習プログラム
JP6954466B2 (ja) 生成方法、生成装置および生成プログラム
CN113518086B (zh) 网络攻击预测的方法、装置及存储介质
CN115955329A (zh) 一种网络安全防护方法、终端及存储介质
EP3799367B1 (en) Generation device, generation method, and generation program
CN110197066B (zh) 一种云计算环境下的虚拟机监控方法及监控系统
JP6518000B2 (ja) 分析装置、分析方法および分析プログラム
JP6714143B2 (ja) 学習装置、再学習要否判定方法及び再学習要否判定プログラム
US11574059B1 (en) Classification of data files
US11514162B1 (en) System and method for differential malware scanner
JP7176630B2 (ja) 検知装置、検知方法および検知プログラム
NZ754552B2 (en) Continuous learning for intrusion detection
CN113110986A (zh) 一种WebShell脚本文件的检测方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200601

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210720

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210802

R150 Certificate of patent or registration of utility model

Ref document number: 6933302

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150