JP7302668B2 - レベル推定装置、レベル推定方法、および、レベル推定プログラム - Google Patents

レベル推定装置、レベル推定方法、および、レベル推定プログラム Download PDF

Info

Publication number
JP7302668B2
JP7302668B2 JP2021551010A JP2021551010A JP7302668B2 JP 7302668 B2 JP7302668 B2 JP 7302668B2 JP 2021551010 A JP2021551010 A JP 2021551010A JP 2021551010 A JP2021551010 A JP 2021551010A JP 7302668 B2 JP7302668 B2 JP 7302668B2
Authority
JP
Japan
Prior art keywords
event
level
events
similarity
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021551010A
Other languages
English (en)
Other versions
JPWO2021070291A1 (ja
Inventor
俊樹 芝原
博和 小寺
大紀 千葉
満昭 秋山
邦夫 波戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021070291A1 publication Critical patent/JPWO2021070291A1/ja
Application granted granted Critical
Publication of JP7302668B2 publication Critical patent/JP7302668B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、レベル推定装置、レベル推定方法、および、レベル推定プログラムに関する。
マルウェアの感染等のセキュリティインシデント(インシデント)を早期に発見するために、セキュリティ機器で検知されたイベントログを監視することが行われている。そして、セキュリティ機器で検知されたイベントのレベル(例えば、インシデントが発生している可能性の高さ等)を推定するため、当該イベントと過去のインシデントとの関連の強さを用いる技術が提案されている(非特許文献1参照)。
Kevin A Roundy, Acar Tamersoy, Michael Spertus, Michael Hart, Daniel Kats, Matteo Dell’Amico, and Robert Scott. 2017., Smoke Detector: Cross-Product Intrusion Detection With Weak Indicators. , In Proceedings of the 33rd Annual Computer Security Applications Conference. 200-211.
ここでセキュリティ機器が検知するイベントはサイバー攻撃の変化に追随するために日々増加している。従来技術では、レベルの推定対象のイベントと過去のインシデントとの関連の強さに基づいて、レベルを推定している。このため、従来技術では、レベルの推定対象のイベントが、インシデントの発生する前のイベントである場合、レベルが低く推定されてしまうという問題がある。そこで、本発明は、前記した問題を解決し、セキュリティ機器が検知したイベントのレベルを精度よく推定することを課題とする。
前記した課題を解決するため、本発明は、ネットワーク機器またはアプリケーションが検知したイベントのイベントログを受信するログ受信部と、前記イベントログを用いて前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定するレベル推定部とを備え、前記イベント同士の類似度の算出において、異なるネットワーク機器またはアプリケーションで検知されたイベント同士の類似度を算出する際、前記異なるネットワーク機器またはアプリケーションで共通に検知されたイベントである共通イベントとの類似度を用いることを特徴とする。
本発明によれば、セキュリティ機器が検知したイベントのレベルを精度よく推定することができる。
図1は、第1の実施形態のレベル推定装置の概要を説明する図である。 図2は、第1の実施形態のレベル推定装置の構成例を示す図である。 図3は、イベントログの例を示す図である。 図4は、集約されたイベントログの例を示す図である。 図5は、集約されたイベントログから数値ベクトルを作成する手順の例を説明する図である。 図6は、イベントレベル情報の例を示す図である。 図7は、第1の実施形態のレベル推定装置の処理手順の例を示すフローチャートである。 図8は、第2の実施形態のレベル推定装置におけるレベルの推定を説明する図である。 図9は、第3の実施形態のレベル推定装置におけるレベルの推定を説明する図である。 図10は、各実施形態のレベル推定装置が適用されるシステムの構成例を示す図である。 図11は、各実施形態のレベル推定装置によるレベルの推定結果により並べ替えられたアラートの例を示す図である。 図12は、レベル推定プログラムを実行するコンピュータの例を示す図である。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)を、第1の実施形態から第3の実施形態に分けて説明する。本発明は各実施形態に限定されない。
なお、以下において、レベル推定装置が、レベルの推定対象とするイベントは、セキュリティ機器が検知するセキュリティイベントである場合を例に説明するが、これに限定されない。例えば、レベルの推定対象のイベントは、セキュリティ機器以外のネットワーク機器やアプリケーションが検知したイベントであってもよい。また、イベントのレベルとは、例えば、セキュリティに関するインシデントが発生している可能性の高さ、イベントの重要度等である。
さらに、セキュリティ機器は、イベントを検知する専用のハードウェア装置により実現されてもよいし、イベントを検知するアプリケーションやソフトウェアにより実現されてもよい。
[第1の実施形態]
[概要]
図1を用いて第1の実施形態のレベル推定装置の概要を説明する。まず、レベル推定装置は、各セキュリティ機器(図示省略)で検知したイベントのイベントログのうち、同じベンダのセキュリティ機器のイベントログをイベントごとに集約し、数値ベクトルに変換する。
例えば、レベル推定装置は、図1の符号101に示すように、ベンダAのセキュリティ機器のイベントログをイベントごとに集約し、△印の数値ベクトルと、〇印の数値ベクトルとを得る。また、レベル推定装置10は、ベンダBのセキュリティ機器のイベントログをイベントごとに集約し、☆印の数値ベクトルと、□印の数値ベクトルと、〇印の数値ベクトルとを得る。
ここで、数値ベクトルの中には、セキュリティ機器のベンダのみが異なる共通イベントの数値ベクトル(セキュリティ機器のベンダは異なるが同じイベントに関する数値ベクトル)が含まれるものとする。例えば、図1の符号101に示す数値ベクトルのうち、〇印の数値ベクトルは、ベンダA,Bで共通して検知される同一のイベント(共通イベント)の数値ベクトルである。
レベル推定装置は、上記の数値ベクトルを、例えば、以下の2つの条件を満たす埋め込みベクトルに変換する。
(1)同じベンダのセキュリティ機器の数値ベクトル間の類似関係を保存する。
(2)共通イベントの埋め込みベクトル同士が類似する。
これにより、レベル推定装置は、符号101に示す数値ベクトルの空間を、例えば、符号102に示す埋め込みベクトルの空間に変換する。つまり、レベル推定装置は、符号102に示すように、ベンダA,Bのセキュリティ機器の埋め込みベクトルについて、同じベンダのセキュリティ機器の数値ベクトル間の類似関係を保ちつつ、ベンダA,Bの共通イベントの数値ベクトル(図1の〇印)同士の距離が短くなるよう変換する。
次に、レベル推定装置は、上記の処理により得られたベンダA,Bのセキュリティ機器の埋め込みベクトルのうち、イベントのレベルが既知の埋め込みベクトル(図1の△印)との類似度(距離)に基づき、各埋め込みベクトルのイベントのレベルを推定する。
例えば、図1においてベンダAの△印の埋め込みベクトルのイベントのレベルが「Primary」である場合を考える。この場合、レベル推定装置は、符号102に示す埋め込みベクトルの空間において、△印の埋め込みベクトルとの距離が近い埋め込みベクトル(□印の埋め込みベクトル)のイベントのレベルを「Primary」と推定する。一方、レベル推定装置は、符号102に示す埋め込みベクトルの空間において、△印の埋め込みベクトルとの距離が遠い埋め込みベクトル(☆印の埋め込みベクトル)のイベントのレベルを「Secondary」と推定する。
このようにすることで、レベル推定装置は、セキュリティ機器の検知したイベントが、インシデントが発生する前のイベントであったとしても、当該イベントのレベルを精度よく推定することができる。
また、異なるベンダのセキュリティ機器はそれぞれ、異なるネットワークの通信を観測していることが多い。このため、イベントの検知に用いた通信の通信量やユーザ等の特性は、セキュリティ機器のベンダごとに異なっていることが多い。よって、従来技術では、異なるベンダのセキュリティ機器のイベント同士の類似度を適切に算出できないおそれがある。
しかし、本実施形態のレベル推定装置は、異なるベンダのセキュリティ機器間で共通するイベント(共通イベント)との類似度に基づき、異なるベンダのセキュリティ機器が検知したイベント同士の類似度を調整する。これにより、レベル推定装置は、異なるベンダのセキュリティ機器のイベント同士の類似度を適切に算出することができる。その結果、レベル推定装置は、イベントのレベルを精度よく推定することができる。
[構成]
次に、図2を用いてレベル推定装置10の構成例を説明する。レベル推定装置10は、ログ受信部11と、ログ集約部12と、数値ベクトル作成部13と、レベル推定部14と、レベル出力部15とを備える。
ログ受信部11は、各セキュリティ機器が検知したイベントのイベントログの入力を受け付ける。このイベントログは、例えば、検知したイベントを特定する情報(イベント名等)と当該イベントを検知したセキュリティ機器のベンダの識別情報とを含む。
イベントログは、例えば、図3に示すように、イベントを検知したセキュリティ機器のベンダ名、当該イベントのイベント名、当該セキュリティ機器を利用している顧客、当該イベントの発生した通信の送信元および宛先、当該イベントの発生時刻等を含む。
なお、上記のイベント名は、例えば、マルウェアの感染に関する情報、サーバへの攻撃に関する情報、アンチウイルスソフトによる検知名等である。また、通信の送信元および宛先は、例えば、IPアドレスを用いるが、IPアドレス以外にも、ドメイン名、IPアドレスレンジ等を用いてもよい。
また、イベントログは、セキュリティ機器が検知した結果でもよいし、セキュリティ機器が記録した通信ログを用いて他の装置が検知した結果でもよい。さらに、イベントログは、図3に示した情報の他、例えば、通信の方向、通信の遮断、セキュリティ機器の型番等の情報を含んでいてもよい。また、イベントログは、イベントが1回検知された場合に1つログが記録されたものでもよいが、例えば、同じイベントが複数回検知された場合、それらがまとめて記録されたものでもよい。
図2の説明に戻る。ログ集約部12は、ログ受信部11で受け付けたイベントログのうち同じイベントに関するイベントログを集約する。そして、集約したイベントログに、共通イベントのイベントログが含まれていた場合、ログ集約部12は、当該イベントログを、セキュリティ機器のベンダごとに集約する。例えば、ログ集約部12は、図4に示すように、イベント名が同じイベントログを集約し、集約したイベントログに複数の異なるベンダのセキュリティ機器のイベントログが含まれていた場合、当該イベントログをベンダごとに集約する。
なお、ログ集約部12が、どのイベントログを同じイベントに関連するとみなすかは任意であるが、例えば、上記のように同じイベント名のイベントログを同じイベントに関連するとみなす方法が考えられる。それ以外では、例えば、イベント名、通信の方向、通信の遮断の有無等の組み合わせを考慮して同じイベントとみなす方法も考えられる。また、ログ集約部12は、イベントログを集約する際に、ログ受信部11で受信したすべてのイベントログを対象としてもよいし、例えば、所定期間のイベントログ等、一部のイベントログを対象としてもよい。
図2の説明に戻る。数値ベクトル作成部13は、ログ集約部12により集約されたイベントログから数値ベクトルを作成する。数値ベクトル作成部13は、例えば、図5に示すように、ログ集約部12で集約したイベントログに含まれる情報それぞれをベクトルに変換し、変換したベクトルを結合して、1つのイベントに対して1つの数値ベクトルを作成する。
例えば、数値ベクトル作成部13は、集約されたイベントログに含まれるイベント名について、キーワードによるone-hot encodingを行うことによりベクトルを作成する。ここでの、キーワードは、例えば、攻撃に関する文字列(例えば、C2、malware、SQL、injection等)を使用する。また、キーワードは、例えば、多くのイベント名や複数のベンダのイベント名に共通する文字列を用いる。
例えば、数値ベクトル作成部13は、集約されたイベントログに含まれる送信元および宛先について、グローバルIPアドレスによるone-hot encodingによりベクトルを作成する。また、数値ベクトル作成部13は、上記の方法により作成したベクトルに、さらに、プライベートIPと顧客(顧客名)との組み合わせも加えたベクトルを作成してもよい。なお、数値ベクトル作成部13は、ベクトルの作成に必要なIPアドレス数を削減するために、レベルが高いことが既知のイベントの送信元および宛先のIPアドレスを使用して、ベクトルを作成してもよい。
また、数値ベクトル作成部13は、集約されたイベントログに含まれる送信元、宛先および時刻については、これらの情報を用いたイベントの検知頻度や総検知数、バースト性を数値化した値や、送信元や宛先のIPアドレスのユニーク数を用いてベクトルを作成してもよい。
数値ベクトルの作成方法は、上記に限らず、集約されたイベントログに含まれる他の要素を加えてもよいし、上記の一部のみを用いてもよい。
レベル推定部14は、各イベントの数値ベクトル同士の類似度を算出し、算出したイベントの数値ベクトル同士の類似度と、少なくともいずれかの数値ベクトルのイベントのレベルとに基づき、数値ベクトルの示すイベントのレベルを推定する。ここで、レベル推定部14は、上記の数値ベクトル同士の類似度の算出において、異なるベンダのセキュリティ機器で検知されたイベントの数値ベクトル同士の類似度を算出する際、上記の共通イベントの数値ベクトルとの類似度を考慮する。
具体的には、レベル推定部14は、複数の異なるベンダのセキュリティ機器で検知されたイベントの数値ベクトル(以下、適宜「ベンダの数値ベクトル」と略す)のうち、共通イベントの数値ベクトルと、各ベンダの数値ベクトルとの類似度を考慮して、各ベンダの数値ベクトル同士の類似度を算出する。そして、レベル推定部14は、算出した各ベンダの数値ベクトル同士の類似度と、少なくともいずれかの数値ベクトルのイベントのレベルとに基づき、各数値ベクトルの示すイベントのレベルを推定する。
例えば、レベル推定部14は、各ベンダの数値ベクトル同士の類似度を算出する際、同じベンダの数値ベクトル同士の類似関係を保ちつつ、異なるベンダで検知された同一のイベント(共通イベント)の数値ベクトル同士の類似度が所定値以上となるようなベクトル空間を用いて、各ベンダの数値ベクトル同士の類似度を算出する。
一例を挙げると、レベル推定部14は、数値ベクトル作成部13により作成された数値ベクトルを、例えば、以下の条件を満たす埋め込みベクトルに変換する。
(1)同じベンダの数値ベクトル間の類似関係を保存する。
(2)異なるベンダで検知された同一のイベント(共通イベント)の埋め込みベクトル同士が類似する。
なお、(1)において、同じベンダの数値ベクトル間の類似関係を保存する際、それぞれの数値ベクトル間の類似度を保存するようにしてもよいし、類似度の順序のみを保存するようにしてもよい。
また、レベル推定部14は、各ベンダのセキュリティ機器のイベント間の類似度として、各セキュリティ機器のイベントログを集約した数値ベクトルの類似度を用いる場合を例に説明するが、これに限定されない。例えば、レベル推定部14は、セキュリティ機器のイベントログを集約した情報におけるキーワード、送信元、宛先の一致性やイベントの共起性等を、各ベンダのセキュリティ機器のイベント間の類似度として用いてもよい。
レベル推定部14は、例えば、図1の符号101に示す数値ベクトルの空間を、上記の(1)(2)の条件に基づき、符号102に示す埋め込みベクトルの空間に変換する。つまり、レベル推定部14は、符号102に示すように、ベンダA,Bそれぞれの埋め込みベクトルについて、同じベンダにおける埋め込みベクトル同士の類似関係を保ちつつ、ベンダのみが異なる共通イベント(図1の〇印)の埋め込みベクトル同士の距離ができるだけ短くなるよう変換する。
また、レベル推定部14は、埋め込みベクトルの示すイベントのレベルを推定する際、レベルが既知であるイベントの埋め込みベクトルとの類似度を用いる。
例えば、レベル推定部14は、イベント名と当該イベント名のイベントのレベルとを示す情報(イベントレベル情報。図6参照)の入力を受け付けておく。そして、レベル推定部14は、イベントレベル情報によりレベルが特定された埋め込みベクトルと、レベルの推定対象の埋め込みベクトルとの類似度を用いて、レベルの推定対象の埋め込みベクトルのレベルを推定する。
なお、イベントのレベルは、例えば、Primary、Secondary等が考えられるが、離散的な数値、連続値等でもよい。また、イベントレベル情報(図6参照)には、全ベンダのセキュリティ機器において検知されるイベントのうち、いずれか1つのイベントのレベルが設定されていればよい。
レベル推定部14は、例えば、図1符号102に示す各埋め込みベクトル同士の類似度を算出した後、上記のイベントレベル情報に基づき、例えば、図1の△印の埋め込みベクトルのレベルを特定する。そして、レベル推定部14は、△印の埋め込みベクトルと他の各埋め込みベクトルのイベントとの類似度(距離)に基づき、他の各埋め込みベクトルのイベントのレベルを推定する。
なお、レベル推定部14は、埋め込みベクトルのうち、イベントのレベルが不明な埋め込みベクトルのレベルのみ推定してもよいし、すべての埋め込みベクトルのレベルを推定してもよい。
また、上記のレベル推定方法によれば、例えば、各セキュリティ機器で検知されたイベント群における、レベルが既知のイベントが少ない場合であっても、各イベントのレベルを精度よく推定することができる。
レベル出力部15は、レベル推定部14により推定されたレベルを出力する。
[処理手順]
次に、図7を用いて、レベル推定装置10の処理手順の例を説明する。まず、レベル推定装置10のログ受信部11がイベントログの入力を受け付けると(S1)、ログ集約部12は、イベントログの集約を行う(S2:ログ集約)。次に、数値ベクトル作成部13は、S2で集約されたイベントログの数値ベクトルを作成する(S3)。その後、レベル推定部14は、S3で作成した数値ベクトルを用いて、S1で受け付けたイベントログの示すイベントのレベルを推定する(S4)。なお、S4でレベル推定部14がイベントのレベルを推定する際、イベントレベル情報(図6参照)の入力を受け付け、当該イベントレベル情報を参照して、イベントのレベルを推定する。その後、レベル出力部15は、レベルの推定結果を出力する(S5:レベル出力)。
[第2の実施形態]
次に、図8を参照しながら、第2の実施形態のレベル推定装置10におけるレベル推定部14におけるレベルの推定方法を説明する。
なお、レベル推定装置10は、第1の実施形態のレベル推定装置10と同様に、各セキュリティ機器で検知したイベントのイベントログの集約を行う。例えば、レベル推定装置10は、ベンダAのセキュリティ機器のイベントログをイベントごとに集約し、例えば、図8に示す△印の数値ベクトルと、〇印の数値ベクトルとを得る。また、レベル推定装置10は、ベンダBのセキュリティ機器のイベントログをイベントごとに集約し、図8に示す☆印の数値ベクトルと、□印の数値ベクトルと、〇印の数値ベクトルとを得る。なお、図8において〇印の数値ベクトルはベンダA,Bに共通するイベント(共通イベント)の数値ベクトルである。
レベル推定部14は、まず、ベンダAの△印の数値ベクトルと、ベンダAの〇印の数値ベクトルとの類似度を算出し、ベンダAの△印の数値ベクトルに追加する。同様に、レベル推定部14は、ベンダBの□印の数値ベクトルと、ベンダBの〇印の数値ベクトルとの類似度を算出し、ベンダBの□印の数値ベクトルに追加する。また、レベル推定部14は、ベンダBの☆印の数値ベクトルと、ベンダBの〇印の数値ベクトルとの類似度を算出し、ベンダBの☆印の数値ベクトルに追加する。
次に、レベル推定部14は、数値ベクトルのうち、レベルが既知のイベントの数値ベクトルを教師データとして用いて機械学習を行い、分類器を構築する。なお、レベル推定部14は、教師データとしてレベルが比較的低いイベントの数値ベクトルが得られない場合には、レベルが不明なイベントの数値ベクトルを、レベルが低いイベントの数値ベクトルとして扱い、機械学習を行ってもよい。レベルが不明なイベントの数値ベクトル群における、実際のレベルが高いイベントの数値ベクトルの割合が低いことが予め分かっていれば、上記の方法でも問題ない。
そして、レベル推定部14は、構築した分類器を用いて、各数値ベクトルの示すイベントのレベルを推測する。
すなわち、レベル推定部14は、まず、数値ベクトルそれぞれについて、同じベンダの共通イベントの数値ベクトルとの類似度を算出する。次に、レベル推定部14は、数値ベクトルそれぞれに、当該数値ベクトルと同じベンダの共通イベントの数値ベクトルとの類似度を付加した情報を作成する。そして、レベル推定部14は、作成した情報と、数値ベクトルのうち少なくともいずれかの数値ベクトルのイベントのレベルとを教師データとして用いて機械学習を行い、各数値ベクトルの示すイベントのレベルを推定するための分類器を構築する。その後、レベル推定部14は、構築した分類器を用いて、各数値ベクトルの示すイベントのレベルを推定する。このようなレベル推定方法によれば、イベントのレベル推定に用いる分類器の構築に、一般的な教師ありの機械学習を用いることが可能であるため、分類器の構築が比較的容易であるというメリットがある。
なお、レベル推定部14は、類似度として、数値ベクトルの類似度を使用する場合を例に説明したが、例えば、キーワード、送信元、宛先の一致性やイベントの共起性等を使用してもよい。また、レベル推定部14、数値ベクトルにすべての共通イベントとの類似度を追加することが考えられるが、一部の共通イベントとの類似度のみを追加してもよい。
なお、レベル推定部14は、前記した第1の実施形態と同様に、レベルが不明なイベントの数値ベクトル作成部13のレベルのみ推定してもよいが、すべてのイベントの数値ベクトルのレベルを推定してもよい。
[第3の実施形態]
次に、図9を参照しながら、第3の実施形態のレベル推定装置10におけるレベル推定部14におけるレベルの推定方法を説明する。
なお、レベル推定装置10は、第1の実施形態のレベル推定装置10と同様に、各セキュリティ機器で検知したイベントのイベントログの集約を行う。例えば、レベル推定装置10は、ベンダAのセキュリティ機器のイベントログをイベントごとに集約し、例えば、図9の符号902に示す△印の数値ベクトルと、〇印の数値ベクトルとを得る。また、レベル推定装置10は、ベンダBのセキュリティ機器のイベントログをイベントごとに集約し、図9の符号902に示す☆印の数値ベクトルと、□印の数値ベクトルと、〇印の数値ベクトルとを得る。なお、図9において〇印の数値ベクトルはベンダA,Bに共通するイベント(共通イベント)の数値ベクトルである。
まず、レベル推定部14は、イベントのレベルが既知の数値ベクトルとそのレベルを教師データとして、各数値ベクトルの示すイベントのレベルを推定する分類器を構築する。ここで構築される分類器は、数値ベクトルを所定の埋め込みベクトルへ変換し、変換した埋め込みベクトルを用いて、各埋め込みベクトルの示すイベントのレベルの推定を行う分類器である。
この分類器は、例えば、図9の符号901に示すように、数値ベクトルを埋め込みベクトルに変換するニューラルネットワークと、変換された埋め込みベクトルを用いて、各埋め込みベクトルの示すイベントのレベルを推定するニューラルネットワークとを備える。
レベル推定部14は、上記の分類器により変換された埋め込みベクトルを用いて、当該埋め込みベクトル同士の類似度を算出する。そして、レベル推定部14は、算出した埋め込みベクトル同士の類似度に基づき、分類器の調整を行う。ここでの分類器の調整は、以下の条件を満たすように行う。
(1)同じベンダの埋め込みベクトル間の類似関係を保存する。
(2)異なるベンダで検知された同一のイベント(共通イベント)の埋め込みベクトル同士が類似する。
上記のような分類器の調整により、例えば、符号902に示す埋め込みベクトルの空間は、符号903に示すように、共通イベントの埋め込みベクトル同士の類似度が高く、かつ、同じベンダの埋め込みベクトル間の類似関係が保たれた状態になる。そして、レベル推定部14は、調整された分類器を用いて、数値ベクトルの示すイベントのレベルを推定する。
なお、レベル推定部14は、前記した第1の実施形態および第2の実施形態と同様に、レベルが不明なイベントの数値ベクトルのレベルのみ推定してもよいが、すべてのイベントの数値ベクトルのレベルを推定してもよい。
第3の実施形態におけるレベルの推定方法は、数値ベクトル間の類似度の算出方法が明確ではない場合でも、各イベントのレベルを推定できるというメリットがある。
[適用例]
各実施形態のレベル推定装置10を用いることで、例えば、SOC(Security Operation Center)でインシデントを特定するためのアラート(イベントログ)の解析を効率的に行うことができる。このことを、図10および図11を用いて説明する。
まず、図10を用いてSOCを含むシステムの構成例を説明する。システムは、例えば、顧客環境と、SIEM(Security Information and Event Management)と、SOCとを含む。
顧客環境において、各顧客にはUTM(Unified Threat Management)等のセキュリティアプライアンス(以下、アプライアンスと略す)が導入されている。アプライアンスのベンダは顧客ごとに異なっている。例えば、顧客1,2にはベンダAのアプライアンスが導入されており、顧客3にはベンダBのアプライアンスが導入されている。各アプライアンスがセキュリティイベントを検知すると、これを通知するアラートをSIEMに送信する。また、各アプライアンスは、セキュリティイベントを検知した際の通信ログをSIEMに送信する。
SIEMは、各顧客の通信ログにSOCで開発された検知ルール(SOCのルール)を適用し、当該ルールによりセキュリティイベントを検知すると、アラートをSOCに送信する。また、SIEMは、各顧客のアプライアンスから送信されたアラートも同様にSOCに送信する。
その後、各実施形態のレベル推定装置10は、SOCが受信したアラートと、SOCの解析者が設定したイベントのレベルを用いて、各アラートの示すイベントのレベルを推定する。なお、レベルはインシデントとの関連によって予め設定されているものを用いる。
そして、SOCに送信されたアラートの解析を行う解析者は、上記のレベル推定装置10により推定された各アラートのイベントのレベルに基づき、どのアラートから順に解析を行うべきかを判断する。これにより、例えば、解析者は、よりレベルの高いイベントのアラートから順に解析するよう順番を調整することができる。その結果、例えば、解析者が、アラートの到着順に解析するより、インシデントの特定までの時間を削減することができる(図11参照)。
[プログラム]
また、上記の実施形態で述べたレベル推定装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置をレベル推定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、レベル推定装置10を、クラウドサーバに実装してもよい。
図12を用いて、上記のプログラム(レベル推定プログラム)を実行するコンピュータの一例を説明する。図12に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図12に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記のレベル推定プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 レベル推定装置
11 ログ受信部
12 ログ集約部
13 数値ベクトル作成部
14 レベル推定部
15 レベル出力部

Claims (6)

  1. 機器またはソフトウェアが検知したイベントのイベントログを受信するログ受信部と、
    前記イベントログを用いて、同じ機器またはソフトウェアで検知されたイベント同士の類似関係を保ちつつ、異なる機器またはソフトウェアで共通に検知されたイベントである共通イベント同士の類似度が所定値以上となるようなベクトル空間おける前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定するレベル推定部とを備え、
    前記イベント同士の類似度の算出において、異なる機器またはソフトウェアで検知されたイベント同士の類似度を算出する際、前記共通イベントとの類似度を用いる
    ことを特徴とするレベル推定装置。
  2. 前記レベル推定部は、
    前記イベントそれぞれについて、前記イベントを検知した機器またはソフトウェアと同じ機器またはソフトウェアが検知した前記共通イベントとの類似度を算出し、前記イベントの特性を表す情報それぞれに、前記イベントを検知した機器またはソフトウェアと同じ機器またはソフトウェアが検知した前記共通イベントとの類似度を付加した情報を作成し、前記作成した情報と、前記イベントのうち少なくともいずれかのイベントのレベルとを教師データとし、前記イベントのレベルを推定するための分類器を構築し、前記構築した分類器を用いて、所定のイベントのレベルを推定する
    ことを特徴とする請求項1に記載のレベル推定装置。
  3. 前記レベル推定部は、
    レベルが既知の前記イベントと当該イベントのレベルとを教師データとして、前記イベントごとのイベントログの所定の数値ベクトルへの変換と、前記変換後の数値ベクトルを用いて所定のイベントのレベルの推定とを行う分類器を構築し、前記構築された分類器により変換された数値ベクトルを用いて、前記イベント同士の類似度を算出し、前記算出した前記イベント同士の類似度に基づき、同じ機器またはソフトウェアで検知されたイベント同士の類似関係を保ちつつ、前記異なる機器またはソフトウェアで検知された同一のイベント同士の類似度が所定値以上となるよう、前記分類器の調整を行い、前記調整が行われた分類器を用いて、所定のイベントのレベルを推定する
    ことを特徴とする請求項1に記載のレベル推定装置。
  4. 前記異なる機器またはソフトウェアは、異なるベンダの機器またはソフトウェアであり、
    前記同じ機器またはソフトウェアは、同じベンダの機器またはソフトウェアである
    ことを特徴とする請求項1に記載のレベル推定装置。
  5. レベル推定装置により実行されるレベル推定方法であって、
    機器またはソフトウェアが検知したイベントのイベントログを受信する工程と、
    前記イベントログを用いて、同じ機器またはソフトウェアで検知されたイベント同士の類似関係を保ちつつ、異なる機器またはソフトウェアで共通に検知されたイベントである共通イベント同士の類似度が所定値以上となるようなベクトル空間おける前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定する工程とを含み、
    前記イベント同士の類似度の算出において、異なる機器またはソフトウェアで検知されたイベント同士の類似度を算出する際、前記共通イベントとの類似度を用いる
    ことを特徴とするレベル推定方法。
  6. 機器またはソフトウェアが検知したイベントのイベントログを受信するステップと、
    前記イベントログを用いて、同じ機器またはソフトウェアで検知されたイベント同士の類似関係を保ちつつ、異なる機器またはソフトウェアで共通に検知されたイベントである共通イベント同士の類似度が所定値以上となるようなベクトル空間おける前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定するステップとをコンピュータに実行させ、
    前記イベント同士の類似度の算出において、異なる機器またはソフトウェアで検知されたイベント同士の類似度を算出する際、前記共通イベントとの類似度を用いる
    ことを特徴とするレベル推定プログラム。
JP2021551010A 2019-10-09 2019-10-09 レベル推定装置、レベル推定方法、および、レベル推定プログラム Active JP7302668B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/039865 WO2021070291A1 (ja) 2019-10-09 2019-10-09 レベル推定装置、レベル推定方法、および、レベル推定プログラム

Publications (2)

Publication Number Publication Date
JPWO2021070291A1 JPWO2021070291A1 (ja) 2021-04-15
JP7302668B2 true JP7302668B2 (ja) 2023-07-04

Family

ID=75437382

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021551010A Active JP7302668B2 (ja) 2019-10-09 2019-10-09 レベル推定装置、レベル推定方法、および、レベル推定プログラム

Country Status (4)

Country Link
US (1) US20230103084A1 (ja)
EP (1) EP4030324B1 (ja)
JP (1) JP7302668B2 (ja)
WO (1) WO2021070291A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004318552A (ja) 2003-04-17 2004-11-11 Kddi Corp Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
JP2016024786A (ja) 2014-07-24 2016-02-08 富士通フロンテック株式会社 ログ解析装置
US20160156655A1 (en) 2010-07-21 2016-06-02 Seculert Ltd. System and methods for malware detection using log analytics for channels and super channels
JP2018121218A (ja) 2017-01-25 2018-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検知システム、攻撃検知方法および攻撃検知プログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8892391B2 (en) * 2011-06-03 2014-11-18 Apple Inc. Activity detection
JP6079243B2 (ja) * 2013-01-10 2017-02-15 日本電気株式会社 障害分析支援装置、障害分析支援方法、及びプログラム
US9432393B2 (en) * 2015-02-03 2016-08-30 Cisco Technology, Inc. Global clustering of incidents based on malware similarity and online trustfulness
US11151468B1 (en) * 2015-07-02 2021-10-19 Experian Information Solutions, Inc. Behavior analysis using distributed representations of event data
US20170034200A1 (en) * 2015-07-30 2017-02-02 Federal Reserve Bank Of Atlanta Flaw Remediation Management
US10291483B2 (en) * 2016-04-19 2019-05-14 Nec Corporation Entity embedding-based anomaly detection for heterogeneous categorical events
WO2018080392A1 (en) * 2016-10-24 2018-05-03 Certis Cisco Security Pte Ltd Quantitative unified analytic neural networks
US11106789B2 (en) * 2019-03-05 2021-08-31 Microsoft Technology Licensing, Llc Dynamic cybersecurity detection of sequence anomalies
US11363036B2 (en) * 2019-03-28 2022-06-14 Microsoft Technology Licensing, Llc Detecting a missing security alert using a machine learning model

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004318552A (ja) 2003-04-17 2004-11-11 Kddi Corp Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
US20160156655A1 (en) 2010-07-21 2016-06-02 Seculert Ltd. System and methods for malware detection using log analytics for channels and super channels
JP2016024786A (ja) 2014-07-24 2016-02-08 富士通フロンテック株式会社 ログ解析装置
JP2018121218A (ja) 2017-01-25 2018-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検知システム、攻撃検知方法および攻撃検知プログラム

Also Published As

Publication number Publication date
EP4030324A4 (en) 2023-05-10
US20230103084A1 (en) 2023-03-30
EP4030324A1 (en) 2022-07-20
WO2021070291A1 (ja) 2021-04-15
EP4030324B1 (en) 2024-09-04
JPWO2021070291A1 (ja) 2021-04-15

Similar Documents

Publication Publication Date Title
US11756404B2 (en) Adaptive severity functions for alerts
US10936717B1 (en) Monitoring containers running on container host devices for detection of anomalies in current container behavior
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US20240129327A1 (en) Context informed abnormal endpoint behavior detection
US20230019072A1 (en) Security model
US20160226893A1 (en) Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof
US8751417B2 (en) Trouble pattern creating program and trouble pattern creating apparatus
US20210136120A1 (en) Universal computing asset registry
CN110679114B (zh) 一种估计数据对象可删除性的方法
US11244043B2 (en) Aggregating anomaly scores from anomaly detectors
US9658908B2 (en) Failure symptom report device and method for detecting failure symptom
CN111669379B (zh) 行为异常检测方法和装置
US20220292186A1 (en) Similarity analysis for automated disposition of security alerts
EP3817316A1 (en) Detection of security threats in a network environment
US20240231909A1 (en) System and method for universal computer asset normalization and configuration management
US20170068892A1 (en) System and method for generation of a heuristic
US20230370486A1 (en) Systems and methods for dynamic vulnerability scoring
US20230274004A1 (en) Subject Level Privacy Attack Analysis for Federated Learning
CN114969840A (zh) 数据防泄漏方法和装置
EP4405864A1 (en) Techniques for enriching device profiles and mitigating cybersecurity threats using enriched device profiles
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
Sushmakar et al. An unsupervised based enhanced anomaly detection model using features importance
JP7302668B2 (ja) レベル推定装置、レベル推定方法、および、レベル推定プログラム
US11308403B1 (en) Automatic identification of critical network assets of a private computer network
Parvat et al. Performance improvement of deep packet inspection for intrusion detection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230523

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230605

R150 Certificate of patent or registration of utility model

Ref document number: 7302668

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150