JP7287503B2 - 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム - Google Patents
情報処理装置、脅威情報評価システム、情報処理方法およびプログラム Download PDFInfo
- Publication number
- JP7287503B2 JP7287503B2 JP2021566414A JP2021566414A JP7287503B2 JP 7287503 B2 JP7287503 B2 JP 7287503B2 JP 2021566414 A JP2021566414 A JP 2021566414A JP 2021566414 A JP2021566414 A JP 2021566414A JP 7287503 B2 JP7287503 B2 JP 7287503B2
- Authority
- JP
- Japan
- Prior art keywords
- level
- learning data
- threat
- feature amount
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、情報処理装置、脅威情報評価システム、情報処理方法および非一時的なコンピュータ可読媒体に関する。
セキュリティ運用者(例えば、SOC(Security Operation Center))は会社等の組織から脅威情報(例えば、電子機器のログやそれに付随するパケット)を受け取り、膨大な脅威情報を主に人手で脅威レベル付けを行っている。しかし、受け取る脅威情報は膨大で、人手での手動解析や脅威レベル付けには限界がある。これに対して、膨大な脅威情報に対して自動で脅威レベル付けする方法が存在する。
特許文献1には、攻撃と判定された通信のアクセスログにおけるパラメータ同士の共通した文字列を抽出する抽出部と、前記抽出部によって抽出された連続する文字列のうち、文字列長が所定の文字列長以上の文字列を基に攻撃パターンを生成する攻撃パターン生成部とを備えた攻撃パターン抽出装置が開示されている。
しかしながら、上記した先行技術文献では、脅威レベル付けに必要な文字列を含む学習データを適切に選択することができない。
本発明は、このような問題点を解決するためになされたものであり、脅威レベル付けに寄与し得る文字列を含む学習データを適切に選択することができる、情報処理装置、脅威情報評価システム、情報処理方法およびプログラムを提供することを目的とする。
本開示の第1の態様にかかる情報処理装置は、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える。
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える。
本開示の第2の態様にかかる情報処理方法は、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する。
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する。
本開示の第3の態様にかかるプログラム非一時的なコンピュータ可読媒体は、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させる。
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させる。
本開示により、脅威レベル付けに寄与し得る文字列を含む学習データを適切に選択することができる、情報処理装置、脅威情報評価システム、情報処理方法およびプログラムを提供することができる。
(実施の形態1)
図1は、実施の形態1にかかる情報処理装置の構成を示すブロック図である。
情報処理装置100は、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部101と、前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部102と、前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部103と、前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部104と、前記差分がある場合は、前記特定の文字列が属する項目の学習データを選択する選択部105と、を備える。
図1は、実施の形態1にかかる情報処理装置の構成を示すブロック図である。
情報処理装置100は、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部101と、前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部102と、前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部103と、前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部104と、前記差分がある場合は、前記特定の文字列が属する項目の学習データを選択する選択部105と、を備える。
ここでいう項目は、組織内のコンピュータやネットワークを、外部からの不正なアクセスを防止するセキュリティシステム(例えば、IDS(Intrusion Detection System)、ファイアウォールなど)から出力される脅威情報(学習データ)の各種の項目とすることができる。なお、項目は、カラム又はタプルとも呼ばれる場合がある。
学習データは、アナリストなどによって予め脅威レベル付けされている脅威情報である。脅威レベルは、少なくとも2つのレベルを含むが、レベルの数は任意に設定することができる。脅威情報は、例えば、通信ログや、通信ログに付随するパケットを含むことができる。
本明細書における文字列は、1以上の文字、記号、単語、数字、およびそれらの組合せを含むことができる。
特徴量は、例えば、頻度情報とすることができるが、これに限定されない。
以上説明した本実施の形態にかかる情報処理装置によれば、脅威レベル付けに寄与し得る文字列を含む学習データを適切に選択することができる。
(実施の形態2)
実施の形態2にかかる脅威情報評価システムの全体構成を示すブロック図である。
本実施の形態にかかる脅威情報評価システム1は、膨大な脅威情報(例えば、通信のログやそれに付随するパケットなど)に対して脅威レベル付けするための、教師あり機械学習に適用可能である。脅威情報に対するアナリストにより付けられた脅威レベルを教師ラベルとすることができる。こうした、膨大な脅威情報と脅威レベルとの大量のペアに基づき、機械学習が行われる。なお、詳細は後述するが、脅威情報評価システム1は、こうした教師あり学習時に使用する特徴量を自動で選択することができる。言い換えると、本実施の形態による機械学習アルゴリズムは、膨大な脅威情報の中から、どの情報を抽出すべきか、又は、会社毎や時代毎にどの情報を抽出すべきかを決定することができる。
実施の形態2にかかる脅威情報評価システムの全体構成を示すブロック図である。
本実施の形態にかかる脅威情報評価システム1は、膨大な脅威情報(例えば、通信のログやそれに付随するパケットなど)に対して脅威レベル付けするための、教師あり機械学習に適用可能である。脅威情報に対するアナリストにより付けられた脅威レベルを教師ラベルとすることができる。こうした、膨大な脅威情報と脅威レベルとの大量のペアに基づき、機械学習が行われる。なお、詳細は後述するが、脅威情報評価システム1は、こうした教師あり学習時に使用する特徴量を自動で選択することができる。言い換えると、本実施の形態による機械学習アルゴリズムは、膨大な脅威情報の中から、どの情報を抽出すべきか、又は、会社毎や時代毎にどの情報を抽出すべきかを決定することができる。
図2を参照して、本脅威情報評価システムの全体構成を説明する。
図2に示すように、脅威情報評価システム1は、SOC(Security Operation Center)10と監視対象顧客環境20を備える。SOC10と監視対象顧客環境20は、ネットワークを介して互いに接続されている。ここでいうネットワークの例としては、ローカルエリアネットワーク(local area network、LAN)、及びワイドエリアネットワーク(wide area network、WAN)、例えば、インターネットを挙げることができる。
図2に示すように、脅威情報評価システム1は、SOC(Security Operation Center)10と監視対象顧客環境20を備える。SOC10と監視対象顧客環境20は、ネットワークを介して互いに接続されている。ここでいうネットワークの例としては、ローカルエリアネットワーク(local area network、LAN)、及びワイドエリアネットワーク(wide area network、WAN)、例えば、インターネットを挙げることができる。
監視対象顧客環境20は、会社、団体などの様々な組織のコンピュータやサーバから構成される。図2に示すように、監視対象顧客環境20は、例えば、会社A、会社B、及び会社Cを含み得る。監視対象顧客環境20では、コンピュータやサーバなどの通信機器がセキュリティ上、怪しい通信を検知すると、各会社の各コンピュータは、通信ログおよびそれに付随するパケットをSOC10に送信する。
SOC10は、監視対象顧客環境20に設置されている通信機器から、脅威情報として、例えば、通信ログとパケットを受け取り、ログおよびパケットに対する脅威レベル付けを行う。具体的には、SOC10は、データ収集サーバ130と、アナリスト用の1つ以上のPC(Personal Computer)140と、自動解析サーバ100と、を備える。なお、自動解析サーバ100は、上記実施の形態1で説明した情報処理装置の一例である。
データ収集サーバ130は、各会社から脅威情報を受け取り、会社毎の脅威情報を別々に管理することができる。データ収集サーバ130は、収集された脅威情報の全て又は一部をアナリスト用のPC140に送信し、アナリストに脅威レベル付けを要求することができる。
アナリストは、PC140に送られた脅威情報に対して、手動による脅威レベル付けを行う。具体的には、アナリストはログとパケットを見て、脅威レベル付けを行うことができる。これにより、脅威情報に対して正解データを紐付けた脅威レベル付け結果(学習データ)がデータ収集サーバ130に収集される。データ収集サーバ130は、脅威レベル付け結果を自動解析サーバ100の学習部120に送信する。
自動解析サーバ100の学習部120は、データ収集サーバ130から脅威レベル付け結果を学習データとして受信する。さらに学習部120は、十分な学習データを蓄積した場合、自動的に学習し、脅威レベル付けの自動解析に用いるための学習モデルを生成することができる。自動解析サーバ100は、こうして生成された学習モデルを、サーバ内部の記憶部又はネットワークを介して接続された外部記憶部に記憶させる。なお、詳細は後述するが、学習部120は、一定量以上の学習データが蓄積された場合、学習データの中から、特徴量を自動的に選択することができる。
自動解析サーバ100の予測部110は、上記記憶部に記憶された学習モデルを用いて、各会社からデータ収集サーバ130を介して送られた脅威情報を自動的にラベル付けすることができる。
しかしながら、脅威情報や攻撃パターンも日々進化するため、データ収集サーバ130は、適宜、アナリストに脅威レベル付けを要求すべく、新たな脅威情報をPC140に送信することができる。例えば、所定レベル以上の脅威情報は、アナリストによるラベル付けを必要とする。こうして、人手による脅威レベル付け結果は、データ収集サーバ130を介して、自動解析サーバ100の学習部120に送信される。このように、学習部120は、定期的に、脅威レベル付けされた新たな学習データを収集し、更新した学習データを基づいて、再学習し、学習モデルを再生成することができる。
なお、上記した例では、自動解析サーバ100とデータ収集サーバ130は別体として説明したが、これらは、一体型のサーバであってもよい。また、自動解析サーバ100の学習部120と予測部110は、別々のサーバによって実行されてもよい。
図3は、学習時のデータ収集サーバの動作を示すフローチャートである。
データ収集サーバ130は、各会社から脅威情報(例えば、セキュリティログ及びそれに付随するパケット)を収集する(ステップS11)。データ収集サーバ130は、会社毎に、又は所定の期間(例えば、1年)毎に脅威情報を管理してもよい。データ収集サーバ130は、収集された脅威情報の全て又は一部を、アナリスト用のPC140に送信して、アナリストに脅威レベル付けを要求する(ステップS12)。アナリストによる脅威レベル付けが完了すると、データ収集サーバ130は、脅威レベル付け結果を受信する(ステップS13)。その後、データ収集サーバ130は、自動解析サーバ100の学習部120に脅威レベル付け結果を学習データとして送信する(ステップS14)。
データ収集サーバ130は、各会社から脅威情報(例えば、セキュリティログ及びそれに付随するパケット)を収集する(ステップS11)。データ収集サーバ130は、会社毎に、又は所定の期間(例えば、1年)毎に脅威情報を管理してもよい。データ収集サーバ130は、収集された脅威情報の全て又は一部を、アナリスト用のPC140に送信して、アナリストに脅威レベル付けを要求する(ステップS12)。アナリストによる脅威レベル付けが完了すると、データ収集サーバ130は、脅威レベル付け結果を受信する(ステップS13)。その後、データ収集サーバ130は、自動解析サーバ100の学習部120に脅威レベル付け結果を学習データとして送信する(ステップS14)。
図4は、学習部の学習処理を示すフローチャートである。
学習部120は、データ収集サーバ130から脅威レベル付け結果を学習データとして取得する(ステップS101)。この学習データは、セキュリティシステムが出力する脅威情報の複数の項目を含むものである。すなわち、こうした学習データは、複数の項目を列(カラム)とし、1つの脅威情報を行とした学習テーブルで表すことができる。各行には、脅威レベル項目が含まれている。脅威レベルは、複数のレベルであり得る。学習部120は、学習データを取得でき(ステップS102でYES)、かつ、十分なデータ量である場合は(ステップS103でYES)、学習データ内でレベル間の特徴量の差が大きい(例えば、特徴量の差が閾値以上である)場合は、その差分の大きい部分の項目(カラム)を特徴として選択する(ステップS104)。本ステップの詳細(学習時の特徴量の自動選択処理)については、後述する。次に、学習部120は、ハイパーパラメータを調整する(ステップS104)。学習部120は、選択されたカラムを、特徴量(例えば、頻度情報)を用いて数値に変換する。その後、学習部120は、こうして選択され、数値化された特徴量を基づいて、機械学習を行う(ステップS106)。こうして生成された学習モデルは、学習部の記憶部等に記憶される。
学習部120は、データ収集サーバ130から脅威レベル付け結果を学習データとして取得する(ステップS101)。この学習データは、セキュリティシステムが出力する脅威情報の複数の項目を含むものである。すなわち、こうした学習データは、複数の項目を列(カラム)とし、1つの脅威情報を行とした学習テーブルで表すことができる。各行には、脅威レベル項目が含まれている。脅威レベルは、複数のレベルであり得る。学習部120は、学習データを取得でき(ステップS102でYES)、かつ、十分なデータ量である場合は(ステップS103でYES)、学習データ内でレベル間の特徴量の差が大きい(例えば、特徴量の差が閾値以上である)場合は、その差分の大きい部分の項目(カラム)を特徴として選択する(ステップS104)。本ステップの詳細(学習時の特徴量の自動選択処理)については、後述する。次に、学習部120は、ハイパーパラメータを調整する(ステップS104)。学習部120は、選択されたカラムを、特徴量(例えば、頻度情報)を用いて数値に変換する。その後、学習部120は、こうして選択され、数値化された特徴量を基づいて、機械学習を行う(ステップS106)。こうして生成された学習モデルは、学習部の記憶部等に記憶される。
なお、レベル間で検出された特徴量の差分に応じて、特徴量の重み付けを変えてもよい。例えば、差分が比較的大きい場合は、重要なカラムとして、特徴量の重み付けを大きくしてもよい。一方、差分が比較的小さい場合は、単なる参考情報として、特徴量の重み付けを小さくしてもよい。
次に、学習時の特徴量の自動選択処理について説明する。
図5は、通信機器のログデータの例と、それに対応するパケットデータの例を示す。図6は、図5のログデータとパケットデータをマージした学習データテーブルの例である。なお、図6に示す学習データテーブルの各カラムは、本明細書において、項目と呼ばれる場合がある。
図5は、通信機器のログデータの例と、それに対応するパケットデータの例を示す。図6は、図5のログデータとパケットデータをマージした学習データテーブルの例である。なお、図6に示す学習データテーブルの各カラムは、本明細書において、項目と呼ばれる場合がある。
このように生成された学習データテーブルの各カラムに出現する文字列の頻度情報を特徴量とすることができる。例えば、特徴量はX=(sourcePortの頻度情報,deviceEventCategoryの頻度情報,…,User-Agentの頻度情報,Hostの頻度情報,…)と表すことができる。
通常の特徴量は、全カラムの頻度情報を使用する。しかし、脅威レベルを予測するために不要な情報まで特徴量に含まれると、予測精度が低下してしまう。そこで、本実施の形態では、脅威レベル付けに寄与し得るカラム(項目)のみを特徴量として選択する。例えば、全カラムの頻度情報をXbeforeとすると、本アルゴリズムを実行することで選択される、脅威レベル付けに寄与するカラム(項目)をXafterと表すことができる。
Xbefore=(destinationPortの頻度情報,deviceEventCategoryの頻度情報,…,User-Agentの頻度情報,Hostの頻度情報,…)
Xafter=(deviceEventCategoryの頻度情報,…,User-Agentの頻度情報,…)
以下、図7、8,9を参照して、特徴量の自動選択を説明する。
Xbefore=(destinationPortの頻度情報,deviceEventCategoryの頻度情報,…,User-Agentの頻度情報,Hostの頻度情報,…)
Xafter=(deviceEventCategoryの頻度情報,…,User-Agentの頻度情報,…)
以下、図7、8,9を参照して、特徴量の自動選択を説明する。
図7は、実施の形態2にかかる全カラムから特徴となるカラムを選択する処理フローを示すフローチャートである。
学習データテーブルの全カラムから任意の1つのカラムを抽出する(ステップS21)。抽出したカラムに対して、独立して特徴量自動選択処理のアルゴリズム(図8で後述)を実行する。そして、抽出されたカラムの有効性、すなわち、当該カラムが脅威レベル付けに寄与し得るか否かを確認する(ステップS22)。次に、有効性を確認していないカラムが残っているか否かを確認する(ステップS23)。未確認のカラムが残っている場合は(ステップS23でYES)、ステップS21およびステップS22の処理を繰り返す。全てのカラムの有効性を確認後(ステップS23でNO)、抽出された全てのカラムを特徴量として選択する(ステップS24)。
学習データテーブルの全カラムから任意の1つのカラムを抽出する(ステップS21)。抽出したカラムに対して、独立して特徴量自動選択処理のアルゴリズム(図8で後述)を実行する。そして、抽出されたカラムの有効性、すなわち、当該カラムが脅威レベル付けに寄与し得るか否かを確認する(ステップS22)。次に、有効性を確認していないカラムが残っているか否かを確認する(ステップS23)。未確認のカラムが残っている場合は(ステップS23でYES)、ステップS21およびステップS22の処理を繰り返す。全てのカラムの有効性を確認後(ステップS23でNO)、抽出された全てのカラムを特徴量として選択する(ステップS24)。
図8は、実施の形態2にかかる特徴量自動選択処理フローを示すフローチャートである。
学習データテーブルの抽出されたカラムに対して、レベル毎に様々な文字列の頻度情報を検出する(ステップS201)。同一のレベル内で検出された文字列の頻度情報が閾値以上かを判定する(ステップS202)。レベル内で検出された文字列の頻度情報が閾値未満の場合(ステップS202でNO)、当該文字列に規則性はないと解釈される。このように解釈されたカラムは、特徴として使用せず、処理は終了する。
学習データテーブルの抽出されたカラムに対して、レベル毎に様々な文字列の頻度情報を検出する(ステップS201)。同一のレベル内で検出された文字列の頻度情報が閾値以上かを判定する(ステップS202)。レベル内で検出された文字列の頻度情報が閾値未満の場合(ステップS202でNO)、当該文字列に規則性はないと解釈される。このように解釈されたカラムは、特徴として使用せず、処理は終了する。
一方、同一のレベル内で検出された文字列の頻度情報が閾値以上の場合は(ステップS202でYES)、当該文字列に規則性はあると解釈される。次に、異なるレベル間で検出された同一の文字列の頻度情報に、閾値以上の差があるかを判定する(ステップS203)。異なるレベル間で検出された文字列の頻度情報に、閾値以上の差がない場合は(ステップS203でNO)、当該文字列は、脅威レベル付けに寄与し得る特徴ではないものと解釈される。このように解釈されたカラムは、特徴として使用せず、処理は終了する。
一方、異なるレベル間で検出された同一の文字列の頻度情報に、閾値以上の差がある場合は(ステップS203でYES)、当該差のあるカラム(項目)を特徴として選択する(ステップS204)。
同一のカラム内の異なるレベル間に頻度情報に差のある文字列が少なくとも1つあれば、当該文字列を含むカラムを、特徴として選択してもよい。あるいは、同一のカラム内の異なるレベル間に差のある文字列が所定個数以上ある場合、当該複数個の文字列を含むカラムを、特徴として選択してもよい。文字列が含まれる数が多いカラムに対して、より大きい重み付けを付与してもよい。
図9は、特徴量の自動選択を具体的に説明する図である。
図9のテーブルでは、学習データは、第1行をレベル1、第2行をレベル2となるように脅威レベル付けされている。これらの脅威レベル付けは、予めアナリストにより行われている。本例では、カラムを生成する元となるパケットデータは、httpであると仮定する。また、本テーブルでは、sourcePort、http_response_content_type、http_user_agent、およびhttp_hostの4つのカラムが存在している。また、図9には、学習データからカラムごとに、検出された各種の文字列の頻度情報が示されている。以下に、カラムごとに本アルゴリズムを実行し、特徴となるカラムを選択する処理を詳細に説明する。
図9のテーブルでは、学習データは、第1行をレベル1、第2行をレベル2となるように脅威レベル付けされている。これらの脅威レベル付けは、予めアナリストにより行われている。本例では、カラムを生成する元となるパケットデータは、httpであると仮定する。また、本テーブルでは、sourcePort、http_response_content_type、http_user_agent、およびhttp_hostの4つのカラムが存在している。また、図9には、学習データからカラムごとに、検出された各種の文字列の頻度情報が示されている。以下に、カラムごとに本アルゴリズムを実行し、特徴となるカラムを選択する処理を詳細に説明する。
sourcePortのカラムでは、レベル1において、文字列「55202」が1件、文字列「29766」が1件検出されている。また、レベル2では、文字列「16027」が1件、文字列「39777」が1件検出されている。すなわち、レベル1のクラス内において、文字列「55202」と文字列「29766」はともに、閾値(例えば、5件)未満である1件ずつ検出され、頻度情報に偏りがなく、規則性もない。同様に、レベル2のクラス内において、文字列「16027」と文字列「39777」がともに閾値(例えば、5件)未満である1件ずつ検出され、頻度情報に偏りがなく、規則性もない。したがって、sourcePortのカラムは、脅威レベル付けに寄与し得る特徴として使用できないと解釈される。したがって、学習データから、sourcePortのカラムのデータを除外することができる。
http_response_content_typeのカラムでは、レベル1において、文字列「text/html」が100件、文字列「text/plain」が10件検出されている。また、レベル2では、「text/html」が100件、文字列「text/plain」が10件検出されている。すなわち、「text/html」と「text/plain」はともに、閾値以上(例えば、5件以上)あるため、レベル1又はレベル2の1つのクラス内では、規則性がある。しかし、レベル1とレベル2との間では、「text/html」はともに100件であり、異なるレベル間において、検出された文字列の頻度情報に差がない。同様に、レベル1とレベル2との間では、「text/plain」はともに10件であり、異なるレベル間において、検出された文字列の頻度情報に差がない。したがって、http_response_content_typeのカラムは、脅威レベル付けに寄与し得る特徴として使用できないと解釈される。したがって、学習データから、http_response_content_typeのカラムのデータを除外することができる。
http_user_agentのカラムでは、レベル1において、文字列「Mozilla」が100件、「python-requests」が10件検出されている。また、レベル2では、文字列「python-requests」が90件、「Mozilla」が20件検出されている。すなわち、「Mozilla」と「python-requests」はともに、閾値以上(例えば、5件以上)あるため、レベル1およびレベル2の1つのクラス内では、規則性がある。さらに、レベル1では、「Mozilla」が100件であるのに対し、レベル2では、「Mozilla」が20件であることから、レベル1とレベル2との間でも、頻度情報に閾値(例えば、10件)以上の差がある。同様に、レベル1では、「python-requests」が10件であるのに対し、レベル2では、「python-requests」が90件であることから、レベル1とレベル2との間でも、頻度情報に閾値(例えば、10件)以上の差がある。したがって、http_user_agentのカラムは、脅威レベル付けに寄与し得る特徴として使用できると解釈される。なお、本例では、「Mozilla」と「python-requests」の2つの文字列が抽出されたhttp_user_agentのカラムを特徴として選択したが、1つの文字列のみが抽出されたカラムを特徴として選択してもよい。あるいは、所定個数以上の文字列が抽出されたカラムを特徴として選択してもよい。
http_hostのカラムでは、レベル1において、文字列「www.normal1.com」は90件、文字列「www.malicious1.com」は10件、文字列「www.malicious2.com」は10件検出されている。また、レベル2では、「www.malicious1.com」は50件、「www.malicious2.com」は50件、「www.normal1.com」は10件検出されている。すなわち、「www.normal1.com」と「www.malicious1.com」と「www.malicious2.com」はともに、閾値以上(例えば、5件以上)あるため、レベル1又はレベル2の1つのクラス内では、規則性がある。さらに、レベル1では、「www.normal1.com」は90件であるのに対し、レベル2では、「www.normal1.com」は10件であることから、レベル1とレベル2との間でも、頻度情報に閾値(例えば、10件)以上の差がある。また、レベル1では、「www.malicious1.com」は10件であるのに対し、レベル2では、「www.malicious1.com」は50件であることから、レベル1とレベル2との間でも、頻度情報に閾値(例えば、10件)以上の差がある。さらに、レベル1では、「www.malicious2.com」は10件であるのに対し、レベル2では、「www.malicious2.com」は50件であることから、レベル1とレベル2との間でも、頻度情報に閾値(例えば、10件)以上の差がある。したがって、http_hostのカラムは、脅威レベル付けに寄与し得る特徴として使用できると解釈される。なお、本例では、「www.normal1.com」と「www.malicious1.com」と「www.malicious2.com」の3つの文字列が抽出されたhttp_hostのカラムを特徴として選択したが、1つの文字列のみが抽出されたカラムを特徴として選択してもよい。あるいは、所定個数以上の文字列が抽出されたカラムを特徴として選択してもよい。
以上に説明したように、本実施の形態にかかる学習部は、学習時の特徴量として、http_user_agentのカラムおよびhttp_hostのカラムを自動的に選択することができる。言い換えると、学習データから、sourcePortのカラムやhttp_response_content_typeのカラムなどの不要なデータを除外することができるので、後続の機械学習等にかかる計算コストを低減することができる。
以上に説明した実施の形態では、2つの脅威レベルの場合を説明したが、本発明の趣旨は、3つ以上の脅威レベルの場合にも適用可能である。例えば、3つの脅威レベルがある場合は、それぞれのレベル間の差、すなわち、レベル1とレベル2、レベル1とレベル3、およびレベル2とレベル3の間の差をそれぞれ算出してもよい。このように、全てのレベル間の差を算出することで、より適切な学習データを選択することができる。
また、上記の例では、すべての文字列を同等の重み付けで頻度情報を比較したが、特定の文字列については、重み付けを大きくしたり、小さくしたりしてもよい。
上記したように、http_user_agentのカラムでは、2つの文字列が特徴として検出され、http_hostのカラムでは、3つの文字列が特徴として検出された。検出された文字列の数によって、カラムの重み付けを変更してもよい。
また、文字列の頻度情報を特徴量としたが、ある文字列の頻度情報と別の文字列との頻度情報の差を特徴量してもよい。
学習部120は、特定の会社(例えば、会社A)あるいは、特定の業界のみからの脅威情報に対する脅威レベル付け結果を学習データとして、機械学習することで、当該特定の会社、あるいは特定の業界の攻撃傾向を学習することができる。つまり、データ収集サーバ130は、会社ごとに、あるいは業界ごとに学習データを区分して、学習部120に提供してもよい。
あるいは、学習部120は、様々な会社(例えば、会社A、B、Cなど)や団体などの組織からの脅威情報に対する脅威レベル付け結果を学習データとして、機械学習することで、会社や業界にかかわらず、全体的な攻撃傾向を学習することができる。
また、学習部120は、所定の期間(例えば、過去1年分)の脅威情報に対する、脅威レベル付け結果を学習データとして、機械学習することで、当該所定の期間の攻撃傾向を学習することができる。
(実施の形態3)
図10は、実施の形態3にかかる特徴量自動選択処理フローを示すフローチャートである。
本実施の形態では、特徴量自動選択の対象として、カラムの組合せを取り入れることができる。
学習データテーブルの全カラムから1つのカラムを抽出する(ステップS31)。すなわち、各カラムに対して、独立して特徴量自動選択処理のアルゴリズム(図8参照)を実行する。そして、抽出されたカラムの有効性、すなわち、当該カラムが脅威レベル付けに寄与するか否かを確認する(ステップS32)。次に、有効性を確認していないカラムが残っているか否かを確認する(ステップS33)。未確認のカラムが残っている場合は(ステップS33でYES)、ステップS31およびステップS32の処理を繰り返す。全てのカラムの有効性を確認後(ステップS33でNO)、同一レベル間のカラムとの組合せを1つ抽出する(ステップS34)。例えば、destinationPort単体では、そもそもudpかtcpか分からないため、destinationPortとtransportProtocolの組合せを抽出してもよい。これらの組合せは、アナリストからのアドバイスにより予め決められた組合せルールに基づいて、抽出してもよい。つまり、相関性の高いカラムの組合せを抽出してもよい。この場合、学習データテーブルには、こうしたカラムの組合せを、新たなカラム(例えば、destinationPort_transportProtocol)として予め追加しておいてもよい。
図10は、実施の形態3にかかる特徴量自動選択処理フローを示すフローチャートである。
本実施の形態では、特徴量自動選択の対象として、カラムの組合せを取り入れることができる。
学習データテーブルの全カラムから1つのカラムを抽出する(ステップS31)。すなわち、各カラムに対して、独立して特徴量自動選択処理のアルゴリズム(図8参照)を実行する。そして、抽出されたカラムの有効性、すなわち、当該カラムが脅威レベル付けに寄与するか否かを確認する(ステップS32)。次に、有効性を確認していないカラムが残っているか否かを確認する(ステップS33)。未確認のカラムが残っている場合は(ステップS33でYES)、ステップS31およびステップS32の処理を繰り返す。全てのカラムの有効性を確認後(ステップS33でNO)、同一レベル間のカラムとの組合せを1つ抽出する(ステップS34)。例えば、destinationPort単体では、そもそもudpかtcpか分からないため、destinationPortとtransportProtocolの組合せを抽出してもよい。これらの組合せは、アナリストからのアドバイスにより予め決められた組合せルールに基づいて、抽出してもよい。つまり、相関性の高いカラムの組合せを抽出してもよい。この場合、学習データテーブルには、こうしたカラムの組合せを、新たなカラム(例えば、destinationPort_transportProtocol)として予め追加しておいてもよい。
抽出された同一レベル間のカラムの組合せに対してアルゴリズムを実行し、有効性を確認する(ステップS35)。すなわち、図8で前述したとおり、抽出された組合せに対して、文字列の組合せの頻度情報を検出する。例えば、図9の例では、レベル1のsourcePortのカラムと、http_response_content_typeのカラムを組み合わせる場合、検出すべき文字列の組合せは、「55202_text/html」や「55202_text/plain」としてもよい。
さらに、異なるレベル間で検出された文字列の頻度情報に閾値以上の差がある場合は、差のある文字列の組合せを含むカラムの組合せを特徴として選択する。予め決められた組合せルールに基づいた組合せが残っている場合は(ステップS36でYES)、ステップS34およびステップS35の処理を繰り返す。予め決められた組合せルールに基づいた組合せが残っていない場合(ステップS33でNO)、抽出されたカラムと、カラムの組合せを特徴量として選択する(ステップS37)。
本実施の形態によれば、カラムの組合せを取り入れることで、より一層適切に、脅威レベル付けに寄与し得る特徴を抽出することができる。これにより、後続する学習処理にかかる計算コストを軽減することができる。
なお、上記の実施の形態では、学習部120が、所定のカラムの組合せ(例えば、相関性の高いカラムの組合せ)を抽出することを想定したが、学習部120は、アナリストにより予め決められたカラムの組合せを追加した学習データテーブルを取得してもよい。
(実施の形態4)
図11は、実施の形態4にかかる予測処理フローを示すフローチャートである。
自動解析サーバ100の予測部110は、各会社から脅威情報として、セキュリティログおよびそれに付随するパケットを、データ収集サーバ130を経由して受信する。予測部110は、まず、受信した脅威情報が、業務通信か攻撃通信かを判定する(ステップS41)。業務通信か攻撃通信かの判定は、既存技術を用いて行うことができる。脅威情報が攻撃通信であると判定された場合は(ステップS42でYES)、予測部110は、上記したように学習により生成された学習モデルを使用して、脅威レベル付けを実施する(ステップS43)。一方、脅威情報が攻撃通信でないと判定された場合は(ステップS42でNO)、脅威レベル付けを行わず、処理は終了する。
図11は、実施の形態4にかかる予測処理フローを示すフローチャートである。
自動解析サーバ100の予測部110は、各会社から脅威情報として、セキュリティログおよびそれに付随するパケットを、データ収集サーバ130を経由して受信する。予測部110は、まず、受信した脅威情報が、業務通信か攻撃通信かを判定する(ステップS41)。業務通信か攻撃通信かの判定は、既存技術を用いて行うことができる。脅威情報が攻撃通信であると判定された場合は(ステップS42でYES)、予測部110は、上記したように学習により生成された学習モデルを使用して、脅威レベル付けを実施する(ステップS43)。一方、脅威情報が攻撃通信でないと判定された場合は(ステップS42でNO)、脅威レベル付けを行わず、処理は終了する。
なお、予測部110は、学習モデルに基づいて、自動的に予測処理を行ってもよいが、セキュリティレベルの高い脅威情報は、既知の学習データから予測できない場合がある。そのため、こうした所定レベル以上の脅威情報は、アナリストにより脅威レベル付けを行い、再度、脅威レベル付け結果を学習部に送り、学習モデルを更新することが好ましい。
図3,図4,図7,図8,図10,図11のフローチャートは、実行の具体的な順番を示しているが、実行の順番は描かれている形態と異なっていてもよい。例えば、2つ以上のステップの実行の順番は、示された順番に対して入れ替えられてもよい。また、フローチャートの中で連続して示された2つ以上のステップは、同時に、または部分的に同時に実行されてもよい。さらに、いくつかの実施形態では、フローチャートに示された1つまたは複数のステップがスキップまたは省略されてもよい。
図12は、本実施形態におけるサーバ100,130,およびPC140のハードウェア構成例を示すブロック図である。図12に示すように、本実施形態のサーバ100,130,およびPC140は、CPU(Central Processing Unit)201、RAM(Random access memory)202、ROM(Read Only Memory)203などを有するコンピュータである。CPU201は、RAM202、ROM203、または、ハードディスク204に格納されたソフトウェアに従い演算および制御を行う。RAM202は、CPU201が各種処理を実行する際の一時記憶領域として使用される。ハードディスク204には、オペレーティングシステム(OS)や、登録プログラムなどが記憶される。ディスプレイ205は、液晶ディスプレイとグラフィックコントローラとから構成され、ディスプレイ205には、画像やアイコンなどのオブジェクト、および、GUIなどが表示される。入力部206は、ユーザが端末装置200に各種指示を与えるための装置であり、例えばマウスやキーボード、タッチパネルなどによって構成される。I/F(インターフェース)部207は、IEEE 802.11aなどの規格に対応した無線LAN通信や有線LAN通信を制御することができ、TCP/IPなどのプロトコルに基づき同一通信ネットワークおよびインターネットを介して外部機器と通信する。システムバス208は、CPU201、RAM202、ROM203、および、ハードディスク204などとのデータのやり取りを制御する。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリを含む。磁気記録媒体は、例えばフレキシブルディスク、磁気テープ、ハードディスクドライブであってもよい。半導体メモリは、例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory)であってもよい。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。以上で説明した複数の例は、適宜組み合わせて実施されることもできる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える情報処理装置。
(付記2)
前記特徴量は、頻度情報である、付記1に記載の情報処理装置。
(付記3)
前記第1の特徴量と前記第2の特徴量は閾値以上である、付記1又は2に記載の情報処理装置。
(付記4)
前記学習データが3つ以上のレベルにレベル付けされている場合は、前記差分検出部は、各レベル間の差分を抽出する、付記1~3のいずれか一項に記載の情報処理装置。
(付記5)
前記取得部は、組織毎に区分された学習データを取得する、付記1~4のいずれか一項に記載の情報処理装置。
(付記6)
前記取得部は、定期的にアナリストにより脅威レベル付けされた学習データを取得する、付記1~5のいずれか一項に記載の情報処理装置。
(付記7)
前記第1の特徴量検出部は、前記第1のレベルに属し、特定の項目に属する学習データから特定の文字列の第1の特徴量を検出し、
前記第1の特徴量検出部は、前記第2のレベルに属し、前記特定の項目に属する学習データから前記特定の文字列の第1の特徴量を検出する、付記1~6のいずれか一項に記載の情報処理装置。
(付記8)
前記取得部は、複数の項目のうちの所定の項目の組合せを含む前記学習データを取得する、付記1~7のいずれか一項に記載の情報処理装置。
(付記9)
前記学習データは、通信ログデータおよび該通信ログデータに付随するパケットを含む、付記1~8のいずれか一項に記載の情報処理装置。
(付記10)
前記選択された項目の学習データを用いて、機械学習を行う学習部を更に備える、付記1~9のいずれか一項に記載の情報処理装置。
(付記11)
前記学習部により生成された学習モデルに基づいて、脅威情報の脅威レベル付けを行う予測部を更に備える、付記10に記載の情報処理装置。
(付記12)
前記脅威情報が、業務通信か攻撃通信かを判別する判別部を更に備え、
前記予測部は、前記判別部が攻撃通信と判別した脅威情報に対して脅威レベル付けを行う、付記11に記載の情報処理装置。
(付記13)
外部から脅威情報を収集するデータ収集サーバと、
収集された前記脅威情報に、アナリストが脅威レベル付けを行うためのコンピュータと、
付記1~12のいずれか一項に記載の情報処理装置と、
を備える、脅威情報評価システム。
(付記14)
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。
(付記15)
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
(付記16)
外部から脅威情報を収集し、
前記収集された脅威情報の少なくとも一部をアナリストが脅威レベル付けするためのコンピュータに送信し、
前記コンピュータで脅威レベル付けされた結果として、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。
(付記17)
外部から脅威情報を収集する処理と、
前記収集された脅威情報の少なくとも一部をアナリストが脅威レベル付けするためのコンピュータに送信する処理と、
前記コンピュータで脅威レベル付けされた結果として、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する処理と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える情報処理装置。
(付記2)
前記特徴量は、頻度情報である、付記1に記載の情報処理装置。
(付記3)
前記第1の特徴量と前記第2の特徴量は閾値以上である、付記1又は2に記載の情報処理装置。
(付記4)
前記学習データが3つ以上のレベルにレベル付けされている場合は、前記差分検出部は、各レベル間の差分を抽出する、付記1~3のいずれか一項に記載の情報処理装置。
(付記5)
前記取得部は、組織毎に区分された学習データを取得する、付記1~4のいずれか一項に記載の情報処理装置。
(付記6)
前記取得部は、定期的にアナリストにより脅威レベル付けされた学習データを取得する、付記1~5のいずれか一項に記載の情報処理装置。
(付記7)
前記第1の特徴量検出部は、前記第1のレベルに属し、特定の項目に属する学習データから特定の文字列の第1の特徴量を検出し、
前記第1の特徴量検出部は、前記第2のレベルに属し、前記特定の項目に属する学習データから前記特定の文字列の第1の特徴量を検出する、付記1~6のいずれか一項に記載の情報処理装置。
(付記8)
前記取得部は、複数の項目のうちの所定の項目の組合せを含む前記学習データを取得する、付記1~7のいずれか一項に記載の情報処理装置。
(付記9)
前記学習データは、通信ログデータおよび該通信ログデータに付随するパケットを含む、付記1~8のいずれか一項に記載の情報処理装置。
(付記10)
前記選択された項目の学習データを用いて、機械学習を行う学習部を更に備える、付記1~9のいずれか一項に記載の情報処理装置。
(付記11)
前記学習部により生成された学習モデルに基づいて、脅威情報の脅威レベル付けを行う予測部を更に備える、付記10に記載の情報処理装置。
(付記12)
前記脅威情報が、業務通信か攻撃通信かを判別する判別部を更に備え、
前記予測部は、前記判別部が攻撃通信と判別した脅威情報に対して脅威レベル付けを行う、付記11に記載の情報処理装置。
(付記13)
外部から脅威情報を収集するデータ収集サーバと、
収集された前記脅威情報に、アナリストが脅威レベル付けを行うためのコンピュータと、
付記1~12のいずれか一項に記載の情報処理装置と、
を備える、脅威情報評価システム。
(付記14)
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。
(付記15)
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
(付記16)
外部から脅威情報を収集し、
前記収集された脅威情報の少なくとも一部をアナリストが脅威レベル付けするためのコンピュータに送信し、
前記コンピュータで脅威レベル付けされた結果として、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。
(付記17)
外部から脅威情報を収集する処理と、
前記収集された脅威情報の少なくとも一部をアナリストが脅威レベル付けするためのコンピュータに送信する処理と、
前記コンピュータで脅威レベル付けされた結果として、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する処理と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
1 脅威情報評価システム
10 SOC
20 監視対象顧客環境
100 自動解析サーバ
101 取得部
102 第1の特徴量検出部
103 第2の特徴量検出部
104 差分検出部
105 選択部
110 予測部
120 学習部
130 データ収集サーバ
140 PC
10 SOC
20 監視対象顧客環境
100 自動解析サーバ
101 取得部
102 第1の特徴量検出部
103 第2の特徴量検出部
104 差分検出部
105 選択部
110 予測部
120 学習部
130 データ収集サーバ
140 PC
Claims (15)
- 複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える情報処理装置。 - 前記特徴量は、頻度情報である、請求項1に記載の情報処理装置。
- 前記第1の特徴量と前記第2の特徴量は閾値以上である、請求項1又は2に記載の情報処理装置。
- 前記学習データが3つ以上のレベルにレベル付けされている場合は、前記差分検出部は、各レベル間の差分を抽出する、請求項1~3のいずれか一項に記載の情報処理装置。
- 前記取得部は、組織毎に区分された学習データを取得する、請求項1~4のいずれか一項に記載の情報処理装置。
- 前記取得部は、定期的にアナリストにより脅威レベル付けされた学習データを取得する、請求項1~5のいずれか一項に記載の情報処理装置。
- 前記第1の特徴量検出部は、前記第1のレベルに属し、特定の項目に属する学習データから特定の文字列の第1の特徴量を検出し、
前記第1の特徴量検出部は、前記第2のレベルに属し、前記特定の項目に属する学習データから前記特定の文字列の第1の特徴量を検出する、請求項1~6のいずれか一項に記載の情報処理装置。 - 前記取得部は、複数の項目のうちの所定の項目の組合せを含む前記学習データを取得する、請求項1~7のいずれか一項に記載の情報処理装置。
- 前記学習データは、通信ログデータおよび該通信ログデータに付随するパケットを含む、請求項1~8のいずれか一項に記載の情報処理装置。
- 前記選択された項目の学習データを用いて、機械学習を行う学習部を更に備える、請求項1~9のいずれか一項に記載の情報処理装置。
- 前記学習部により生成された学習モデルに基づいて、脅威情報の脅威レベル付けを行う予測部を更に備える、請求項10に記載の情報処理装置。
- 前記脅威情報が、業務通信か攻撃通信かを判別する判別部を更に備え、
前記予測部は、前記判別部が攻撃通信と判別した脅威情報に対して脅威レベル付けを行う、請求項11に記載の情報処理装置。 - 外部から脅威情報を収集するデータ収集サーバと、
収集された前記脅威情報に、アナリストが脅威レベル付けを行うためのコンピュータと、
請求項1~12のいずれか一項に記載の情報処理装置と、
を備える、脅威情報評価システム。 - コンピュータにより、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記コンピュータにより、前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記コンピュータにより、前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記コンピュータにより、前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記コンピュータにより、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。 - 複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/050483 WO2021130838A1 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、脅威情報評価システム、情報処理方法および非一時的なコンピュータ可読媒体 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JPWO2021130838A1 JPWO2021130838A1 (ja) | 2021-07-01 |
| JPWO2021130838A5 JPWO2021130838A5 (ja) | 2022-06-30 |
| JP7287503B2 true JP7287503B2 (ja) | 2023-06-06 |
Family
ID=76575782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021566414A Active JP7287503B2 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230025208A1 (ja) |
| JP (1) | JP7287503B2 (ja) |
| WO (1) | WO2021130838A1 (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016125837A1 (ja) | 2015-02-04 | 2016-08-11 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
| US20180367561A1 (en) | 2017-06-14 | 2018-12-20 | International Business Machines Corporation | Threat disposition analysis and modeling using supervised machine learning |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9462008B2 (en) * | 2014-05-16 | 2016-10-04 | Cisco Technology, Inc. | Identifying threats based on hierarchical classification |
| WO2015186662A1 (ja) * | 2014-06-06 | 2015-12-10 | 日本電信電話株式会社 | ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム |
| US10972495B2 (en) * | 2016-08-02 | 2021-04-06 | Invincea, Inc. | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| JP6697123B2 (ja) * | 2017-03-03 | 2020-05-20 | 日本電信電話株式会社 | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム |
| JP6954466B2 (ja) * | 2018-06-04 | 2021-10-27 | 日本電信電話株式会社 | 生成方法、生成装置および生成プログラム |
| US11310268B2 (en) * | 2019-05-06 | 2022-04-19 | Secureworks Corp. | Systems and methods using computer vision and machine learning for detection of malicious actions |
| US11757901B2 (en) * | 2021-09-16 | 2023-09-12 | Centripetal Networks, Llc | Malicious homoglyphic domain name detection and associated cyber security applications |
-
2019
- 2019-12-24 US US17/783,081 patent/US20230025208A1/en active Pending
- 2019-12-24 WO PCT/JP2019/050483 patent/WO2021130838A1/ja active Application Filing
- 2019-12-24 JP JP2021566414A patent/JP7287503B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016125837A1 (ja) | 2015-02-04 | 2016-08-11 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
| US20180367561A1 (en) | 2017-06-14 | 2018-12-20 | International Business Machines Corporation | Threat disposition analysis and modeling using supervised machine learning |
Non-Patent Citations (1)
| Title |
|---|
| 包含他,特徴選択によるマルウェアの最適化レベル推定精度向上,2015年 暗号と情報セキュリティシンポジウム SCIS2015 [CD-ROM] 2015年 暗号,日本,電子情報通信学会,2015年01月20日,p.1-p.8 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230025208A1 (en) | 2023-01-26 |
| JPWO2021130838A1 (ja) | 2021-07-01 |
| WO2021130838A1 (ja) | 2021-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3462267B1 (en) | Anomaly diagnosis method and anomaly diagnosis apparatus | |
| US10210036B2 (en) | Time series metric data modeling and prediction | |
| JP6307453B2 (ja) | リスク評価システムおよびリスク評価方法 | |
| US11089369B2 (en) | Methods and apparatus to categorize media impressions by age | |
| JP6845819B2 (ja) | 分析装置、分析方法、および分析プログラム | |
| US11966319B2 (en) | Identifying anomalies in a data center using composite metrics and/or machine learning | |
| CN114430826A (zh) | 用于预测计算工作负载的时间序列分析 | |
| JP7311350B2 (ja) | 監視装置、監視方法、および監視プログラム | |
| US20200311231A1 (en) | Anomalous user session detector | |
| EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
| CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| JP7287503B2 (ja) | 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム | |
| CN112292671B (zh) | 器件识别装置及器件识别方法 | |
| CN111865899A (zh) | 威胁驱动的协同采集方法及装置 | |
| CN106254375B (zh) | 一种无线热点设备的识别方法及装置 | |
| CN110209558A (zh) | 基于软件定义存储的智能运维方法和装置 | |
| JP7033560B2 (ja) | 分析装置および分析方法 | |
| WO2020261621A1 (ja) | 監視システム、監視方法及びプログラム | |
| US20230008765A1 (en) | Estimation apparatus, estimation method and program | |
| JP7318711B2 (ja) | 異常検知装置、異常検知方法、及びプログラム | |
| CN116702121B (zh) | 一种云桌面场景下增强访问控制安全性的方法 | |
| JP2018132918A (ja) | データ分析装置及びデータ分析方法 | |
| JP7325557B2 (ja) | 異常診断方法および異常診断装置 | |
| US20220300785A1 (en) | Analyzing sequences of interactions using a neural network with attention mechanism | |
| US20220173994A1 (en) | Configuring operational analytics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220422 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220422 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230314 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230411 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230425 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230508 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7287503 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |