JP7287503B2 - 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム - Google Patents
情報処理装置、脅威情報評価システム、情報処理方法およびプログラム Download PDFInfo
- Publication number
- JP7287503B2 JP7287503B2 JP2021566414A JP2021566414A JP7287503B2 JP 7287503 B2 JP7287503 B2 JP 7287503B2 JP 2021566414 A JP2021566414 A JP 2021566414A JP 2021566414 A JP2021566414 A JP 2021566414A JP 7287503 B2 JP7287503 B2 JP 7287503B2
- Authority
- JP
- Japan
- Prior art keywords
- level
- learning data
- threat
- feature amount
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える。
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する。
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させる。
図1は、実施の形態1にかかる情報処理装置の構成を示すブロック図である。
情報処理装置100は、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部101と、前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部102と、前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部103と、前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部104と、前記差分がある場合は、前記特定の文字列が属する項目の学習データを選択する選択部105と、を備える。
実施の形態2にかかる脅威情報評価システムの全体構成を示すブロック図である。
本実施の形態にかかる脅威情報評価システム1は、膨大な脅威情報(例えば、通信のログやそれに付随するパケットなど)に対して脅威レベル付けするための、教師あり機械学習に適用可能である。脅威情報に対するアナリストにより付けられた脅威レベルを教師ラベルとすることができる。こうした、膨大な脅威情報と脅威レベルとの大量のペアに基づき、機械学習が行われる。なお、詳細は後述するが、脅威情報評価システム1は、こうした教師あり学習時に使用する特徴量を自動で選択することができる。言い換えると、本実施の形態による機械学習アルゴリズムは、膨大な脅威情報の中から、どの情報を抽出すべきか、又は、会社毎や時代毎にどの情報を抽出すべきかを決定することができる。
図2に示すように、脅威情報評価システム1は、SOC(Security Operation Center)10と監視対象顧客環境20を備える。SOC10と監視対象顧客環境20は、ネットワークを介して互いに接続されている。ここでいうネットワークの例としては、ローカルエリアネットワーク(local area network、LAN)、及びワイドエリアネットワーク(wide area network、WAN)、例えば、インターネットを挙げることができる。
データ収集サーバ130は、各会社から脅威情報(例えば、セキュリティログ及びそれに付随するパケット)を収集する(ステップS11)。データ収集サーバ130は、会社毎に、又は所定の期間(例えば、1年)毎に脅威情報を管理してもよい。データ収集サーバ130は、収集された脅威情報の全て又は一部を、アナリスト用のPC140に送信して、アナリストに脅威レベル付けを要求する(ステップS12)。アナリストによる脅威レベル付けが完了すると、データ収集サーバ130は、脅威レベル付け結果を受信する(ステップS13)。その後、データ収集サーバ130は、自動解析サーバ100の学習部120に脅威レベル付け結果を学習データとして送信する(ステップS14)。
学習部120は、データ収集サーバ130から脅威レベル付け結果を学習データとして取得する(ステップS101)。この学習データは、セキュリティシステムが出力する脅威情報の複数の項目を含むものである。すなわち、こうした学習データは、複数の項目を列(カラム)とし、1つの脅威情報を行とした学習テーブルで表すことができる。各行には、脅威レベル項目が含まれている。脅威レベルは、複数のレベルであり得る。学習部120は、学習データを取得でき(ステップS102でYES)、かつ、十分なデータ量である場合は(ステップS103でYES)、学習データ内でレベル間の特徴量の差が大きい(例えば、特徴量の差が閾値以上である)場合は、その差分の大きい部分の項目(カラム)を特徴として選択する(ステップS104)。本ステップの詳細(学習時の特徴量の自動選択処理)については、後述する。次に、学習部120は、ハイパーパラメータを調整する(ステップS104)。学習部120は、選択されたカラムを、特徴量(例えば、頻度情報)を用いて数値に変換する。その後、学習部120は、こうして選択され、数値化された特徴量を基づいて、機械学習を行う(ステップS106)。こうして生成された学習モデルは、学習部の記憶部等に記憶される。
図5は、通信機器のログデータの例と、それに対応するパケットデータの例を示す。図6は、図5のログデータとパケットデータをマージした学習データテーブルの例である。なお、図6に示す学習データテーブルの各カラムは、本明細書において、項目と呼ばれる場合がある。
Xbefore=(destinationPortの頻度情報,deviceEventCategoryの頻度情報,…,User-Agentの頻度情報,Hostの頻度情報,…)
Xafter=(deviceEventCategoryの頻度情報,…,User-Agentの頻度情報,…)
以下、図7、8,9を参照して、特徴量の自動選択を説明する。
学習データテーブルの全カラムから任意の1つのカラムを抽出する(ステップS21)。抽出したカラムに対して、独立して特徴量自動選択処理のアルゴリズム(図8で後述)を実行する。そして、抽出されたカラムの有効性、すなわち、当該カラムが脅威レベル付けに寄与し得るか否かを確認する(ステップS22)。次に、有効性を確認していないカラムが残っているか否かを確認する(ステップS23)。未確認のカラムが残っている場合は(ステップS23でYES)、ステップS21およびステップS22の処理を繰り返す。全てのカラムの有効性を確認後(ステップS23でNO)、抽出された全てのカラムを特徴量として選択する(ステップS24)。
学習データテーブルの抽出されたカラムに対して、レベル毎に様々な文字列の頻度情報を検出する(ステップS201)。同一のレベル内で検出された文字列の頻度情報が閾値以上かを判定する(ステップS202)。レベル内で検出された文字列の頻度情報が閾値未満の場合(ステップS202でNO)、当該文字列に規則性はないと解釈される。このように解釈されたカラムは、特徴として使用せず、処理は終了する。
図9のテーブルでは、学習データは、第1行をレベル1、第2行をレベル2となるように脅威レベル付けされている。これらの脅威レベル付けは、予めアナリストにより行われている。本例では、カラムを生成する元となるパケットデータは、httpであると仮定する。また、本テーブルでは、sourcePort、http_response_content_type、http_user_agent、およびhttp_hostの4つのカラムが存在している。また、図9には、学習データからカラムごとに、検出された各種の文字列の頻度情報が示されている。以下に、カラムごとに本アルゴリズムを実行し、特徴となるカラムを選択する処理を詳細に説明する。
図10は、実施の形態3にかかる特徴量自動選択処理フローを示すフローチャートである。
本実施の形態では、特徴量自動選択の対象として、カラムの組合せを取り入れることができる。
学習データテーブルの全カラムから1つのカラムを抽出する(ステップS31)。すなわち、各カラムに対して、独立して特徴量自動選択処理のアルゴリズム(図8参照)を実行する。そして、抽出されたカラムの有効性、すなわち、当該カラムが脅威レベル付けに寄与するか否かを確認する(ステップS32)。次に、有効性を確認していないカラムが残っているか否かを確認する(ステップS33)。未確認のカラムが残っている場合は(ステップS33でYES)、ステップS31およびステップS32の処理を繰り返す。全てのカラムの有効性を確認後(ステップS33でNO)、同一レベル間のカラムとの組合せを1つ抽出する(ステップS34)。例えば、destinationPort単体では、そもそもudpかtcpか分からないため、destinationPortとtransportProtocolの組合せを抽出してもよい。これらの組合せは、アナリストからのアドバイスにより予め決められた組合せルールに基づいて、抽出してもよい。つまり、相関性の高いカラムの組合せを抽出してもよい。この場合、学習データテーブルには、こうしたカラムの組合せを、新たなカラム(例えば、destinationPort_transportProtocol)として予め追加しておいてもよい。
図11は、実施の形態4にかかる予測処理フローを示すフローチャートである。
自動解析サーバ100の予測部110は、各会社から脅威情報として、セキュリティログおよびそれに付随するパケットを、データ収集サーバ130を経由して受信する。予測部110は、まず、受信した脅威情報が、業務通信か攻撃通信かを判定する(ステップS41)。業務通信か攻撃通信かの判定は、既存技術を用いて行うことができる。脅威情報が攻撃通信であると判定された場合は(ステップS42でYES)、予測部110は、上記したように学習により生成された学習モデルを使用して、脅威レベル付けを実施する(ステップS43)。一方、脅威情報が攻撃通信でないと判定された場合は(ステップS42でNO)、脅威レベル付けを行わず、処理は終了する。
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える情報処理装置。
(付記2)
前記特徴量は、頻度情報である、付記1に記載の情報処理装置。
(付記3)
前記第1の特徴量と前記第2の特徴量は閾値以上である、付記1又は2に記載の情報処理装置。
(付記4)
前記学習データが3つ以上のレベルにレベル付けされている場合は、前記差分検出部は、各レベル間の差分を抽出する、付記1~3のいずれか一項に記載の情報処理装置。
(付記5)
前記取得部は、組織毎に区分された学習データを取得する、付記1~4のいずれか一項に記載の情報処理装置。
(付記6)
前記取得部は、定期的にアナリストにより脅威レベル付けされた学習データを取得する、付記1~5のいずれか一項に記載の情報処理装置。
(付記7)
前記第1の特徴量検出部は、前記第1のレベルに属し、特定の項目に属する学習データから特定の文字列の第1の特徴量を検出し、
前記第1の特徴量検出部は、前記第2のレベルに属し、前記特定の項目に属する学習データから前記特定の文字列の第1の特徴量を検出する、付記1~6のいずれか一項に記載の情報処理装置。
(付記8)
前記取得部は、複数の項目のうちの所定の項目の組合せを含む前記学習データを取得する、付記1~7のいずれか一項に記載の情報処理装置。
(付記9)
前記学習データは、通信ログデータおよび該通信ログデータに付随するパケットを含む、付記1~8のいずれか一項に記載の情報処理装置。
(付記10)
前記選択された項目の学習データを用いて、機械学習を行う学習部を更に備える、付記1~9のいずれか一項に記載の情報処理装置。
(付記11)
前記学習部により生成された学習モデルに基づいて、脅威情報の脅威レベル付けを行う予測部を更に備える、付記10に記載の情報処理装置。
(付記12)
前記脅威情報が、業務通信か攻撃通信かを判別する判別部を更に備え、
前記予測部は、前記判別部が攻撃通信と判別した脅威情報に対して脅威レベル付けを行う、付記11に記載の情報処理装置。
(付記13)
外部から脅威情報を収集するデータ収集サーバと、
収集された前記脅威情報に、アナリストが脅威レベル付けを行うためのコンピュータと、
付記1~12のいずれか一項に記載の情報処理装置と、
を備える、脅威情報評価システム。
(付記14)
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。
(付記15)
複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
(付記16)
外部から脅威情報を収集し、
前記収集された脅威情報の少なくとも一部をアナリストが脅威レベル付けするためのコンピュータに送信し、
前記コンピュータで脅威レベル付けされた結果として、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。
(付記17)
外部から脅威情報を収集する処理と、
前記収集された脅威情報の少なくとも一部をアナリストが脅威レベル付けするためのコンピュータに送信する処理と、
前記コンピュータで脅威レベル付けされた結果として、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する処理と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
10 SOC
20 監視対象顧客環境
100 自動解析サーバ
101 取得部
102 第1の特徴量検出部
103 第2の特徴量検出部
104 差分検出部
105 選択部
110 予測部
120 学習部
130 データ収集サーバ
140 PC
Claims (15)
- 複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する取得部と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する第1の特徴量検出部と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出する第2の特徴量検出部と、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する差分検出部と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える情報処理装置。 - 前記特徴量は、頻度情報である、請求項1に記載の情報処理装置。
- 前記第1の特徴量と前記第2の特徴量は閾値以上である、請求項1又は2に記載の情報処理装置。
- 前記学習データが3つ以上のレベルにレベル付けされている場合は、前記差分検出部は、各レベル間の差分を抽出する、請求項1~3のいずれか一項に記載の情報処理装置。
- 前記取得部は、組織毎に区分された学習データを取得する、請求項1~4のいずれか一項に記載の情報処理装置。
- 前記取得部は、定期的にアナリストにより脅威レベル付けされた学習データを取得する、請求項1~5のいずれか一項に記載の情報処理装置。
- 前記第1の特徴量検出部は、前記第1のレベルに属し、特定の項目に属する学習データから特定の文字列の第1の特徴量を検出し、
前記第1の特徴量検出部は、前記第2のレベルに属し、前記特定の項目に属する学習データから前記特定の文字列の第1の特徴量を検出する、請求項1~6のいずれか一項に記載の情報処理装置。 - 前記取得部は、複数の項目のうちの所定の項目の組合せを含む前記学習データを取得する、請求項1~7のいずれか一項に記載の情報処理装置。
- 前記学習データは、通信ログデータおよび該通信ログデータに付随するパケットを含む、請求項1~8のいずれか一項に記載の情報処理装置。
- 前記選択された項目の学習データを用いて、機械学習を行う学習部を更に備える、請求項1~9のいずれか一項に記載の情報処理装置。
- 前記学習部により生成された学習モデルに基づいて、脅威情報の脅威レベル付けを行う予測部を更に備える、請求項10に記載の情報処理装置。
- 前記脅威情報が、業務通信か攻撃通信かを判別する判別部を更に備え、
前記予測部は、前記判別部が攻撃通信と判別した脅威情報に対して脅威レベル付けを行う、請求項11に記載の情報処理装置。 - 外部から脅威情報を収集するデータ収集サーバと、
収集された前記脅威情報に、アナリストが脅威レベル付けを行うためのコンピュータと、
請求項1~12のいずれか一項に記載の情報処理装置と、
を備える、脅威情報評価システム。 - コンピュータにより、複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得し、
前記コンピュータにより、前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出し、
前記コンピュータにより、前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記コンピュータにより、前記第1の特徴量と前記第2の特徴量との間に差分を検出し、
前記差分が閾値以上ある場合は、前記コンピュータにより、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。 - 複数の項目からなる学習データであって、第1のレベルと、前記第1のレベルより脅威レベルの高い第2のレベルにレベル付けされた学習データを取得する処理と、
前記第1のレベルに属する学習データから特定の文字列の第1の特徴量を検出する処理と、
前記第2のレベルに属する学習データから前記特定の文字列の第2の特徴量を検出し、
前記第1の特徴量と前記第2の特徴量との間に差分を検出する処理と、
前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/050483 WO2021130838A1 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、脅威情報評価システム、情報処理方法および非一時的なコンピュータ可読媒体 |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2021130838A1 JPWO2021130838A1 (ja) | 2021-07-01 |
JPWO2021130838A5 JPWO2021130838A5 (ja) | 2022-06-30 |
JP7287503B2 true JP7287503B2 (ja) | 2023-06-06 |
Family
ID=76575782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021566414A Active JP7287503B2 (ja) | 2019-12-24 | 2019-12-24 | 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230025208A1 (ja) |
JP (1) | JP7287503B2 (ja) |
WO (1) | WO2021130838A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016125837A1 (ja) | 2015-02-04 | 2016-08-11 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
US20180367561A1 (en) | 2017-06-14 | 2018-12-20 | International Business Machines Corporation | Threat disposition analysis and modeling using supervised machine learning |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9462008B2 (en) * | 2014-05-16 | 2016-10-04 | Cisco Technology, Inc. | Identifying threats based on hierarchical classification |
WO2015186662A1 (ja) * | 2014-06-06 | 2015-12-10 | 日本電信電話株式会社 | ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム |
US10972495B2 (en) * | 2016-08-02 | 2021-04-06 | Invincea, Inc. | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
JP6697123B2 (ja) * | 2017-03-03 | 2020-05-20 | 日本電信電話株式会社 | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム |
JP6954466B2 (ja) * | 2018-06-04 | 2021-10-27 | 日本電信電話株式会社 | 生成方法、生成装置および生成プログラム |
US11310268B2 (en) * | 2019-05-06 | 2022-04-19 | Secureworks Corp. | Systems and methods using computer vision and machine learning for detection of malicious actions |
US11757901B2 (en) * | 2021-09-16 | 2023-09-12 | Centripetal Networks, Llc | Malicious homoglyphic domain name detection and associated cyber security applications |
-
2019
- 2019-12-24 US US17/783,081 patent/US20230025208A1/en active Pending
- 2019-12-24 WO PCT/JP2019/050483 patent/WO2021130838A1/ja active Application Filing
- 2019-12-24 JP JP2021566414A patent/JP7287503B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016125837A1 (ja) | 2015-02-04 | 2016-08-11 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
US20180367561A1 (en) | 2017-06-14 | 2018-12-20 | International Business Machines Corporation | Threat disposition analysis and modeling using supervised machine learning |
Non-Patent Citations (1)
Title |
---|
包含他,特徴選択によるマルウェアの最適化レベル推定精度向上,2015年 暗号と情報セキュリティシンポジウム SCIS2015 [CD-ROM] 2015年 暗号,日本,電子情報通信学会,2015年01月20日,p.1-p.8 |
Also Published As
Publication number | Publication date |
---|---|
US20230025208A1 (en) | 2023-01-26 |
JPWO2021130838A1 (ja) | 2021-07-01 |
WO2021130838A1 (ja) | 2021-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3462267B1 (en) | Anomaly diagnosis method and anomaly diagnosis apparatus | |
US10210036B2 (en) | Time series metric data modeling and prediction | |
JP6307453B2 (ja) | リスク評価システムおよびリスク評価方法 | |
US11089369B2 (en) | Methods and apparatus to categorize media impressions by age | |
JP6845819B2 (ja) | 分析装置、分析方法、および分析プログラム | |
US11966319B2 (en) | Identifying anomalies in a data center using composite metrics and/or machine learning | |
CN114430826A (zh) | 用于预测计算工作负载的时间序列分析 | |
JP7311350B2 (ja) | 監視装置、監視方法、および監視プログラム | |
US20200311231A1 (en) | Anomalous user session detector | |
EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
JP7287503B2 (ja) | 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム | |
CN112292671B (zh) | 器件识别装置及器件识别方法 | |
CN111865899A (zh) | 威胁驱动的协同采集方法及装置 | |
CN106254375B (zh) | 一种无线热点设备的识别方法及装置 | |
CN110209558A (zh) | 基于软件定义存储的智能运维方法和装置 | |
JP7033560B2 (ja) | 分析装置および分析方法 | |
WO2020261621A1 (ja) | 監視システム、監視方法及びプログラム | |
US20230008765A1 (en) | Estimation apparatus, estimation method and program | |
JP7318711B2 (ja) | 異常検知装置、異常検知方法、及びプログラム | |
CN116702121B (zh) | 一种云桌面场景下增强访问控制安全性的方法 | |
JP2018132918A (ja) | データ分析装置及びデータ分析方法 | |
JP7325557B2 (ja) | 異常診断方法および異常診断装置 | |
US20220300785A1 (en) | Analyzing sequences of interactions using a neural network with attention mechanism | |
US20220173994A1 (en) | Configuring operational analytics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220422 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220422 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230314 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230411 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230425 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230508 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7287503 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |