JP7357825B2 - セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム - Google Patents
セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム Download PDFInfo
- Publication number
- JP7357825B2 JP7357825B2 JP2023526132A JP2023526132A JP7357825B2 JP 7357825 B2 JP7357825 B2 JP 7357825B2 JP 2023526132 A JP2023526132 A JP 2023526132A JP 2023526132 A JP2023526132 A JP 2023526132A JP 7357825 B2 JP7357825 B2 JP 7357825B2
- Authority
- JP
- Japan
- Prior art keywords
- category
- content
- security monitoring
- communication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012806 monitoring device Methods 0.000 title claims description 66
- 238000000034 method Methods 0.000 title claims description 19
- 238000012544 monitoring process Methods 0.000 title claims description 17
- 238000004891 communication Methods 0.000 claims description 181
- 230000005856 abnormality Effects 0.000 claims description 31
- 238000001514 detection method Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 230000008859 change Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
Description
本開示は、セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラムに関する。
正常状態であるデータを用いてルール又は推論モデル等を作成し、作成したルール又はモデル等を用いてデータが正常状態から逸脱したか否かを判定することにより、データの異常を検知する技術がある。本技術を用いることにより通信における正常とは異なる活動を発見することができるため、サイバー攻撃といった悪意のある活動を検知することに本技術を活用することが期待されている。
特許文献1は、URL(Uniform Resource Locator)をドメイン又はカテゴリレベル等の荒い粒度で分類し、分類した結果に応じたルールを用いて通信に関する異常を判定し、判定結果と、異常の原因に関する情報とを管理者に提示する技術を開示している。
特許文献1は、URL(Uniform Resource Locator)をドメイン又はカテゴリレベル等の荒い粒度で分類し、分類した結果に応じたルールを用いて通信に関する異常を判定し、判定結果と、異常の原因に関する情報とを管理者に提示する技術を開示している。
特許文献1が開示する技術は、通信先が有するコンテンツのカテゴリの過去からの変化を自動的に検出しないため、通信先が有するコンテンツのカテゴリの過去からの変化が通信に関する異常の原因である場合においても、システムの管理者が、送信先が有するコンテンツのカテゴリが過去から変化したか否かを調べる必要があるという課題がある。
本開示は、通信先が有するコンテンツのカテゴリの過去からの変化を自動的に検出し、検出した結果をシステムのオペレータ等に提示することを目的とする。
本開示に係るセキュリティ監視装置は、
監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定部と、
前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較部と、
前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与部と
を備える。
監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定部と、
前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較部と、
前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与部と
を備える。
本開示によれば、コンテンツカテゴリ推定部は対象装置が有するコンテンツのカテゴリを推定し、カテゴリ比較部は推定したカテゴリが比較用カテゴリと一致するか否かを判定し、情報付与部は判定した結果に応じた付与情報を生成する。対象装置は通信先であってもよく、比較用カテゴリは過去において対象装置が有したコンテンツのカテゴリであってもよく、付与情報はシステムのオペレータ等に通信異常を知らせる情報に付与されてもよい。そのため、本開示によれば、通信先が有するコンテンツのカテゴリに過去からの変化がある場合において、通信先が有するコンテンツのカテゴリの過去からの変化を自動的に検出し、検出した結果をシステムのオペレータ等に提示することができる。
実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。
実施の形態1.
以下、本実施の形態について、図面を参照しながら詳細に説明する。
本実施の形態は、基本的には、通信先のコンテンツのカテゴリは、正常時であれば変化せず、攻撃者によって改ざんされた場合等に変化するという仮定に基づく。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
本実施の形態は、基本的には、通信先のコンテンツのカテゴリは、正常時であれば変化せず、攻撃者によって改ざんされた場合等に変化するという仮定に基づく。
***構成の説明***
図1は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。セキュリティ監視システム90は、本図に示すように、セキュリティ監視装置100と、監視対象システム200とを備える。セキュリティ監視装置100と、監視対象システム200との各々は複数存在してもよい。セキュリティ監視装置100と、監視対象システム200とは適宜一体的に構成されていてもよい。
図1は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。セキュリティ監視システム90は、本図に示すように、セキュリティ監視装置100と、監視対象システム200とを備える。セキュリティ監視装置100と、監視対象システム200との各々は複数存在してもよい。セキュリティ監視装置100と、監視対象システム200とは適宜一体的に構成されていてもよい。
セキュリティ監視装置100は、監視対象システム200を監視する装置であり、通信異常検知部110と、一貫性判定部120と、情報付与部130と、カテゴリDB(Database)170とを備える。セキュリティ監視装置100は、監視対象システム200の通信ログの異常を検知した場合に、アラートを適宜出力する。
通信異常検知部110は、コンテンツを有する装置であるコンテンツ装置の通信ログを用いてコンテンツ装置の通信ログを用いてコンテンツ装置の通信ログが異常であるか否かを推定する学習モデルである正常通信推定モデルを、監視対象システム200の通信ログを用いて学習し、学習した正常通信推定モデルと、対象装置の通信ログとを用いて対象装置の通信ログが正常であるか否かを推定する。ここで、監視対象システム200の通信ログは、監視対象システム200が備える装置等における送受信記録を示す。送受信記録は、具体例として、監視対象システム200が備えるサーバに監視対象システム200が備える端末がアクセスした記録である。正常通信推定モデルは、通信ログを入力とし、入力された通信ログが正常であるか否かを推定するモデルである。対象装置は、監視対象システム200が備えるサーバ等である。通信異常検知部110は、入力された通信ログの異常が正常通信推定モデルによって推定された場合にアラートを生成する。通信異常検知部110は、正常通信推定モデルを学習せず、他の装置等が生成した正常通信推定モデルを用いてもよい。通信異常検知部110の構成は、正常学習部と、異常判定部とを備える構成であってもよい。通信異常検知部110は、正常通信推定モデルを生成する際にどのような既存技術を用いてもよい。なお、正常通信推定モデルは、通信ログと、通信ログが正常であるか異常であるかを示す通信ログの状態との関係を学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。
図2は、通信ログの具体例を示している。通信ログは、通信先のIP(Internet Protocol)アドレスと、通信日時等の情報から成る。
図2は、通信ログの具体例を示している。通信ログは、通信先のIP(Internet Protocol)アドレスと、通信日時等の情報から成る。
一貫性判定部120は、コンテンツ取得部121と、コンテンツカテゴリ推定部122と、カテゴリ比較部123とを備える。
コンテンツ取得部121は、通信ログに含まれる通信先の情報に基づいて通信先が有するコンテンツを取得する。通信先は、監視対象システム200であってもよく、監視対象システム200が備えるサーバ等であってもよい。コンテンツは、具体例として、ウェブサイトに表示される内容、又はファイルサーバに格納されているファイルの内容である。
コンテンツカテゴリ推定部122は、コンテンツを示すデータを用いてコンテンツを示すコンテンツデータを用いてコンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルを学習し、対象装置が有するコンテンツのカテゴリを、学習したコンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定する。コンテンツカテゴリ推定部122が推定したカテゴリは第1推定カテゴリとも呼ばれる。第1推定カテゴリは、対象装置が有するコンテンツのカテゴリを推定した結果である。コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルを学習せず、他の装置等が生成したコンテンツカテゴリ推定モデルを用いてもよい。コンテンツカテゴリ推定モデルは、コンテンツを示すデータを入力とし、入力されたデータに対応するカテゴリを推定する。コンテンツカテゴリ推定モデルは、コンテンツを示すデータと、カテゴリとの関係を学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。コンテンツカテゴリ推定モデルは、1つのコンテンツから複数のカテゴリを推論するモデルであってもよく、複数のカテゴリを推論する場合において、各カテゴリの信頼度等を求めてもよい。コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルを学習する際にどのような既存技術を用いてもよい。コンテンツカテゴリ推定部122の構成は、カテゴリ学習部とカテゴリ判定部とを備える構成であってもよい。
カテゴリ比較部123は、コンテンツカテゴリ推定部122が推定したカテゴリと、カテゴリDB170とを参照して、現在における通信先が有するコンテンツのカテゴリと、過去における通信先が有するコンテンツのカテゴリとを比較する。カテゴリ比較部123の構成は、新旧比較部を備える構成であってもよい。カテゴリ比較部123は、第1推定カテゴリと比較用カテゴリとが一致するか否かを判定する。比較用カテゴリは、過去において、対象装置が有するコンテンツのカテゴリを、コンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定した結果であってもよい。
なお、サーバが有するコンテンツのカテゴリが同じである場合にサーバの通信ログが類似し、また、サーバが有するコンテンツのカテゴリが互いに異なる場合にサーバの通信ログが類似しないと考えられる。カテゴリは、具体例として、ニュース、検索サービス、天気、又はSNS(Social Networking Service)である。攻撃者によってサーバが有するコンテンツの内容が改ざんされた場合、改ざんの前後でサーバが有するコンテンツのカテゴリに変化が生じると考えられる。そこで、一貫性判定部120は、通信先が有するコンテンツのカテゴリを推定し、推定したカテゴリと、通信先が正常である場合において確認した通信先が有するコンテンツのカテゴリとに一貫性があるか否かを判定する。
コンテンツ取得部121は、通信ログに含まれる通信先の情報に基づいて通信先が有するコンテンツを取得する。通信先は、監視対象システム200であってもよく、監視対象システム200が備えるサーバ等であってもよい。コンテンツは、具体例として、ウェブサイトに表示される内容、又はファイルサーバに格納されているファイルの内容である。
コンテンツカテゴリ推定部122は、コンテンツを示すデータを用いてコンテンツを示すコンテンツデータを用いてコンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルを学習し、対象装置が有するコンテンツのカテゴリを、学習したコンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定する。コンテンツカテゴリ推定部122が推定したカテゴリは第1推定カテゴリとも呼ばれる。第1推定カテゴリは、対象装置が有するコンテンツのカテゴリを推定した結果である。コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルを学習せず、他の装置等が生成したコンテンツカテゴリ推定モデルを用いてもよい。コンテンツカテゴリ推定モデルは、コンテンツを示すデータを入力とし、入力されたデータに対応するカテゴリを推定する。コンテンツカテゴリ推定モデルは、コンテンツを示すデータと、カテゴリとの関係を学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。コンテンツカテゴリ推定モデルは、1つのコンテンツから複数のカテゴリを推論するモデルであってもよく、複数のカテゴリを推論する場合において、各カテゴリの信頼度等を求めてもよい。コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルを学習する際にどのような既存技術を用いてもよい。コンテンツカテゴリ推定部122の構成は、カテゴリ学習部とカテゴリ判定部とを備える構成であってもよい。
カテゴリ比較部123は、コンテンツカテゴリ推定部122が推定したカテゴリと、カテゴリDB170とを参照して、現在における通信先が有するコンテンツのカテゴリと、過去における通信先が有するコンテンツのカテゴリとを比較する。カテゴリ比較部123の構成は、新旧比較部を備える構成であってもよい。カテゴリ比較部123は、第1推定カテゴリと比較用カテゴリとが一致するか否かを判定する。比較用カテゴリは、過去において、対象装置が有するコンテンツのカテゴリを、コンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定した結果であってもよい。
なお、サーバが有するコンテンツのカテゴリが同じである場合にサーバの通信ログが類似し、また、サーバが有するコンテンツのカテゴリが互いに異なる場合にサーバの通信ログが類似しないと考えられる。カテゴリは、具体例として、ニュース、検索サービス、天気、又はSNS(Social Networking Service)である。攻撃者によってサーバが有するコンテンツの内容が改ざんされた場合、改ざんの前後でサーバが有するコンテンツのカテゴリに変化が生じると考えられる。そこで、一貫性判定部120は、通信先が有するコンテンツのカテゴリを推定し、推定したカテゴリと、通信先が正常である場合において確認した通信先が有するコンテンツのカテゴリとに一貫性があるか否かを判定する。
情報付与部130は、カテゴリ比較部123による比較結果に応じた付与情報を生成し、生成した付与情報をアラートに付与する。付与情報は、第1推定カテゴリと比較用カテゴリとが一致するか否かに応じた情報である。アラートは、監視対象システム200の通信に異常があることを示すものである。情報付与部130は、対象装置の通信ログが正常ではないと正常通信推定モデルによって推定された場合に、生成した付与情報を、生成されたアラートに付与する。
カテゴリDB170は、各通信先情報について、通信先情報と通信先情報が示す通信先が有するコンテンツのカテゴリとの組を示すデータを記録する。通信先情報は、通信先を示す情報であり、具体例として通信先のドメインである。
監視対象システム200は、ログ採取装置210を備え、また、具体例として、WebサーバとAD(Active Directory)サーバとファイルサーバとプロキシサーバとユーザ端末等を備えるIT(Information Technology)システムである。
ログ採取装置210は、監視対象システム200の通信ログを採取し、採取した通信ログを保存する。
ログ採取装置210は、監視対象システム200の通信ログを採取し、採取した通信ログを保存する。
図3は、本実施の形態に係るセキュリティ監視装置100のハードウェア構成例を示している。セキュリティ監視装置100は、コンピュータから成る。セキュリティ監視装置100は、複数のコンピュータから成ってもよい。
セキュリティ監視装置100は、本図に示すように、プロセッサ11と、メモリ12と、補助記憶装置13と、入出力IF(Interface)14と、通信装置15等のハードウェアを備えるコンピュータである。これらのハードウェアは、信号線19を介して適宜接続されている。
プロセッサ11は、演算処理を行うIC(Integrated Circuit)であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ11は、具体例として、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、又はGPU(Graphics Processing Unit)である。
セキュリティ監視装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
セキュリティ監視装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
メモリ12は、典型的には、揮発性の記憶装置である。メモリ12は、主記憶装置又はメインメモリとも呼ばれる。メモリ12は、具体例として、RAM(Random Access Memory)である。メモリ12に記憶されたデータは、必要に応じて補助記憶装置13に保存される。
補助記憶装置13は、典型的には、不揮発性の記憶装置である。補助記憶装置13は、具体例として、ROM(Read Only Memory)、HDD(Hard Disk Drive)、又はフラッシュメモリである。補助記憶装置13に記憶されたデータは、必要に応じてメモリ12にロードされる。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
入出力IF14は、入力装置及び出力装置が接続されるポートである。入出力IF14は、具体例として、USB(Universal Serial Bus)端子である。入力装置は、具体例として、キーボード及びマウスである。出力装置は、具体例として、ディスプレイである。
通信装置15は、レシーバ及びトランスミッタである。通信装置15は、具体例として、通信チップ又はNIC(Network Interface Card)である。
セキュリティ監視装置100の各部は、他の装置等と通信する際に、入出力IF14及び通信装置15を適宜用いてもよい。
補助記憶装置13は、セキュリティ監視プログラムを記憶している。セキュリティ監視プログラムは、セキュリティ監視装置100が備える各部の機能をコンピュータに実現させるプログラムである。セキュリティ監視プログラムは、メモリ12にロードされて、プロセッサ11によって実行される。セキュリティ監視装置100が備える各部の機能は、ソフトウェアにより実現される。
セキュリティ監視プログラムを実行する際に用いられるデータと、セキュリティ監視プログラムを実行することによって得られるデータ等は、記憶装置に適宜記憶される。セキュリティ監視装置100の各部は、適宜記憶装置を利用する。記憶装置は、具体例として、メモリ12と、補助記憶装置13と、プロセッサ11内のレジスタと、プロセッサ11内のキャッシュメモリとの少なくとも1つから成る。なお、データと、情報とは、同等の意味を有することもある。記憶装置は、コンピュータと独立したものであってもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
セキュリティ監視プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。セキュリティ監視プログラムは、プログラムプロダクトとして提供されてもよい。
ログ採取装置210のハードウェア構成は、セキュリティ監視装置100のハードウェア構成と同様である。
***動作の説明***
セキュリティ監視装置100の動作手順は、セキュリティ監視方法に相当する。また、セキュリティ監視装置100の動作を実現するプログラムは、セキュリティ監視プログラムに相当する。
セキュリティ監視装置100の動作手順は、セキュリティ監視方法に相当する。また、セキュリティ監視装置100の動作を実現するプログラムは、セキュリティ監視プログラムに相当する。
図4は、セキュリティ監視装置100の学習時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置100の学習時における動作を説明する。
(ステップS101)
監視対象システム200が正常である場合において、ログ採取装置210は、監視対象システム200の通信ログを収集する。
監視対象システム200が正常である場合において、ログ採取装置210は、監視対象システム200の通信ログを収集する。
(ステップS102)
通信異常検知部110は、ログ採取装置210が収集した通信ログを取得し、取得した通信ログを用いて正常通信推定モデルを学習する。なお、通信異常検知部110は、監視対象システム200が正常ではない場合における監視対象システム200の通信ログを用いて正常通信推定モデルを学習してもよい。
通信異常検知部110は、ログ採取装置210が収集した通信ログを取得し、取得した通信ログを用いて正常通信推定モデルを学習する。なお、通信異常検知部110は、監視対象システム200が正常ではない場合における監視対象システム200の通信ログを用いて正常通信推定モデルを学習してもよい。
(ステップS103)
コンテンツ取得部121は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを取得する。
コンテンツ取得部121は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを取得する。
(ステップS104)
コンテンツカテゴリ推定部122は、取得したコンテンツを用いてコンテンツカテゴリ推定モデルを学習する。コンテンツカテゴリ推定部122がコンテンツカテゴリ推定モデルを学習する際に、取得したコンテンツのカテゴリを示すデータが教師データとして与えられてもよい。
コンテンツカテゴリ推定部122は、取得したコンテンツを用いてコンテンツカテゴリ推定モデルを学習する。コンテンツカテゴリ推定部122がコンテンツカテゴリ推定モデルを学習する際に、取得したコンテンツのカテゴリを示すデータが教師データとして与えられてもよい。
(ステップS105)
コンテンツカテゴリ推定部122は、通信先が有するコンテンツを示すデータを取得し、ステップS103において取得した通信先情報が示す通信先が有するコンテンツのカテゴリを、取得したデータと、コンテンツカテゴリ推定モデルとを用いて推定する。その後、コンテンツカテゴリ推定部122は、当該通信先情報と、推定したカテゴリとの組を示すデータをカテゴリDB170に記録する。
コンテンツカテゴリ推定部122は、通信先が有するコンテンツを示すデータを取得し、ステップS103において取得した通信先情報が示す通信先が有するコンテンツのカテゴリを、取得したデータと、コンテンツカテゴリ推定モデルとを用いて推定する。その後、コンテンツカテゴリ推定部122は、当該通信先情報と、推定したカテゴリとの組を示すデータをカテゴリDB170に記録する。
図5は、セキュリティ監視装置100の検知時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置100の検知時における動作を説明する。
(ステップS121)
ログ採取装置210は、監視対象システム200の通信ログを収集する。
ログ採取装置210は、監視対象システム200の通信ログを収集する。
(ステップS122)
通信異常検知部110は、ログ採取装置210が収集した通信ログを取得し、正常通信推定モデルと、取得した通信ログとを用いて、取得した通信ログが正常であるか否かを判定する。この際、通信異常検知部110は、正常通信推定モデルからアラートが出力されるか否かを確認してもよい。
通信ログが正常であると判定された場合、セキュリティ監視装置100は本フローチャートの処理を終了する。それ以外の場合、セキュリティ監視装置100は、アラートを生成し、ステップS123に進む。
通信異常検知部110は、ログ採取装置210が収集した通信ログを取得し、正常通信推定モデルと、取得した通信ログとを用いて、取得した通信ログが正常であるか否かを判定する。この際、通信異常検知部110は、正常通信推定モデルからアラートが出力されるか否かを確認してもよい。
通信ログが正常であると判定された場合、セキュリティ監視装置100は本フローチャートの処理を終了する。それ以外の場合、セキュリティ監視装置100は、アラートを生成し、ステップS123に進む。
(ステップS123)
コンテンツ取得部121は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて当該通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを示すデータを取得する。
コンテンツ取得部121は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて当該通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを示すデータを取得する。
(ステップS124)
コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルと、取得したコンテンツを示すデータとを用いて、通信先が有するコンテンツのカテゴリを推定する。
コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルと、取得したコンテンツを示すデータとを用いて、通信先が有するコンテンツのカテゴリを推定する。
(ステップS125)
カテゴリ比較部123は、通信先のカテゴリに一貫性があるか否かを判定する。
具体的には、まず、カテゴリ比較部123は、ステップS123において取得した通信先情報が示す通信先のコンテンツの過去におけるカテゴリを、カテゴリDB170を参照して確認する。次に、カテゴリ比較部123は、カテゴリDB170を参照して確認したカテゴリと、ステップS124において推定したカテゴリとの間に一貫性があるか否かを判定する。
なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合において、カテゴリ比較部123は、本ステップの処理をスキップしてもよく、ステップS123において取得した通信先情報と、ステップS124において推定したカテゴリとの組を示すデータをカテゴリDB170に記録してもよい。
カテゴリ比較部123は、通信先のカテゴリに一貫性があるか否かを判定する。
具体的には、まず、カテゴリ比較部123は、ステップS123において取得した通信先情報が示す通信先のコンテンツの過去におけるカテゴリを、カテゴリDB170を参照して確認する。次に、カテゴリ比較部123は、カテゴリDB170を参照して確認したカテゴリと、ステップS124において推定したカテゴリとの間に一貫性があるか否かを判定する。
なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合において、カテゴリ比較部123は、本ステップの処理をスキップしてもよく、ステップS123において取得した通信先情報と、ステップS124において推定したカテゴリとの組を示すデータをカテゴリDB170に記録してもよい。
(ステップS126)
通信先のカテゴリに一貫性がある場合、情報付与部130はステップS124において推定したカテゴリを示す付与情報をアラートに付与する。それ以外の場合、情報付与部130は、カテゴリの変化を示す付与情報として、通信先の過去におけるカテゴリと、ステップS124において推定したカテゴリとの各々を示す情報をアラートに付与する。
なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合、情報付与部130はその旨を示す付与情報をアラートに付与してもよい。
図6は、情報付与部130が付与する付与情報の具体例を示している。図6において、「比較結果」欄はカテゴリ比較部123が比較した結果を示している。なお、「比較対象なし」は、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合に対応する。「付与情報」欄は、情報付与部130が生成する付与情報を示している。
セキュリティ監視装置100は、アラートをオペレータ等に適宜伝達する。
通信先のカテゴリに一貫性がある場合、情報付与部130はステップS124において推定したカテゴリを示す付与情報をアラートに付与する。それ以外の場合、情報付与部130は、カテゴリの変化を示す付与情報として、通信先の過去におけるカテゴリと、ステップS124において推定したカテゴリとの各々を示す情報をアラートに付与する。
なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合、情報付与部130はその旨を示す付与情報をアラートに付与してもよい。
図6は、情報付与部130が付与する付与情報の具体例を示している。図6において、「比較結果」欄はカテゴリ比較部123が比較した結果を示している。なお、「比較対象なし」は、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合に対応する。「付与情報」欄は、情報付与部130が生成する付与情報を示している。
セキュリティ監視装置100は、アラートをオペレータ等に適宜伝達する。
***実施の形態1の効果の説明***
以上のように、本実施の形態によれば、監視対象システム200の通信ログに異常がある場合において、通信先が有するコンテンツのカテゴリが過去から変化したか否かを確認し、確認した結果を示す情報を出力する。出力された情報は、ユーザ側と通信先側とのどちらに通信に関する異常の原因があると考えられるかを監視対象システム200のオペレータ等が判断する際に役立つ。そのため、本実施の形態によれば、オペレータ等は、出力された結果に基づいて、通信ログの異常の原因が、ユーザ側にあるのか、通信先側にあるのかを把握しやすくなり、通信ログの異常に対処しやすくなる。ここで、ユーザ側は通信先にアクセスする端末等を意味する。ユーザ側に起因する通信ログの異常は、具体例として、内部犯、攻撃者、若しくはマルウェアによって普段と違う通信ログが発生すること、又は、偶然に発生した事由により普段と違う通信ログが発生することによって生じる。通信先側に起因する異常は、具体例として、乗っ取り若しくは改ざん等の悪意のあるコンテンツ変更、又は、正規なコンテンツ変更により普段と違う通信ログが発生することにより生じる。ここで、送信先における正規のコンテンツ変更によってユーザの送信先に対する活動が変化した場合において、通信ログの学習時とは異なる特徴が現れ、通信ログが異常と誤って判断される可能性がある。通信ログから収集される特徴のみからでは、送信先のコンテンツが変更されたか否かを把握することができないが、本実施の形態によれば、現在の送信先のコンテンツのカテゴリと過去における送信先のコンテンツのカテゴリとを比較した結果を出力することにより、オペレータ等はコンテンツの変更等を比較的容易に把握することができる。
また、本実施の形態によれば、悪性URL等として登録されていない通信先の通信に関する異常に対応することができ、さらに、学習モデルとカテゴリとドメイン等のみを管理すればよいため、管理すべきモデル及び比較用データの量が比較的少なくて済む。
以上のように、本実施の形態によれば、監視対象システム200の通信ログに異常がある場合において、通信先が有するコンテンツのカテゴリが過去から変化したか否かを確認し、確認した結果を示す情報を出力する。出力された情報は、ユーザ側と通信先側とのどちらに通信に関する異常の原因があると考えられるかを監視対象システム200のオペレータ等が判断する際に役立つ。そのため、本実施の形態によれば、オペレータ等は、出力された結果に基づいて、通信ログの異常の原因が、ユーザ側にあるのか、通信先側にあるのかを把握しやすくなり、通信ログの異常に対処しやすくなる。ここで、ユーザ側は通信先にアクセスする端末等を意味する。ユーザ側に起因する通信ログの異常は、具体例として、内部犯、攻撃者、若しくはマルウェアによって普段と違う通信ログが発生すること、又は、偶然に発生した事由により普段と違う通信ログが発生することによって生じる。通信先側に起因する異常は、具体例として、乗っ取り若しくは改ざん等の悪意のあるコンテンツ変更、又は、正規なコンテンツ変更により普段と違う通信ログが発生することにより生じる。ここで、送信先における正規のコンテンツ変更によってユーザの送信先に対する活動が変化した場合において、通信ログの学習時とは異なる特徴が現れ、通信ログが異常と誤って判断される可能性がある。通信ログから収集される特徴のみからでは、送信先のコンテンツが変更されたか否かを把握することができないが、本実施の形態によれば、現在の送信先のコンテンツのカテゴリと過去における送信先のコンテンツのカテゴリとを比較した結果を出力することにより、オペレータ等はコンテンツの変更等を比較的容易に把握することができる。
また、本実施の形態によれば、悪性URL等として登録されていない通信先の通信に関する異常に対応することができ、さらに、学習モデルとカテゴリとドメイン等のみを管理すればよいため、管理すべきモデル及び比較用データの量が比較的少なくて済む。
***他の構成***
<変形例1>
図7は、本変形例に係るセキュリティ監視装置100のハードウェア構成例を示している。
セキュリティ監視装置100は、プロセッサ11、プロセッサ11とメモリ12、プロセッサ11と補助記憶装置13、あるいはプロセッサ11とメモリ12と補助記憶装置13とに代えて、処理回路18を備える。
処理回路18は、セキュリティ監視装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
<変形例1>
図7は、本変形例に係るセキュリティ監視装置100のハードウェア構成例を示している。
セキュリティ監視装置100は、プロセッサ11、プロセッサ11とメモリ12、プロセッサ11と補助記憶装置13、あるいはプロセッサ11とメモリ12と補助記憶装置13とに代えて、処理回路18を備える。
処理回路18は、セキュリティ監視装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
処理回路18が専用のハードウェアである場合、処理回路18は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)又はこれらの組み合わせである。
セキュリティ監視装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
セキュリティ監視装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
セキュリティ監視装置100において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。
処理回路18は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、セキュリティ監視装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係るセキュリティ監視装置100についても、本変形例と同様の構成であってもよい。また、ログ採取装置210の構成も本変形例と同様の構成であってもよい。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、セキュリティ監視装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係るセキュリティ監視装置100についても、本変形例と同様の構成であってもよい。また、ログ採取装置210の構成も本変形例と同様の構成であってもよい。
実施の形態2.
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
本実施の形態は、基本的には、複数の通信先が有するコンテンツのカテゴリが同じであれば、複数の通信先の各々の通信ログが類似するという仮定に基づく。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
本実施の形態は、基本的には、複数の通信先が有するコンテンツのカテゴリが同じであれば、複数の通信先の各々の通信ログが類似するという仮定に基づく。
***構成の説明***
図8は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視装置100は、実施の形態1に係るセキュリティ監視装置100と比較してログカテゴリ推定部124をさらに備える。
図8は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視装置100は、実施の形態1に係るセキュリティ監視装置100と比較してログカテゴリ推定部124をさらに備える。
ログカテゴリ推定部124は、通信ログと、通信ログに対応するコンテンツのカテゴリを示すデータとを用いて、コンテンツを有する装置であるコンテンツ装置の通信ログを用いてコンテンツ装置が有するコンテンツを推定する学習モデルであるログカテゴリ推定モデルを学習し、対象装置が有するコンテンツのカテゴリを、学習したログカテゴリ推定モデルと、対象装置の通信ログとを用いて推定する。ログカテゴリ推定モデルは、通信ログ又は通信ログの特徴を入力として、通信ログに対応するコンテンツのカテゴリを推定するモデルである。通信ログに対応するコンテンツは、当該通信ログが示す通信を実行した装置が有するコンテンツである。ログカテゴリ推定モデルは、コンテンツを有する装置の通信ログと、カテゴリとの関係を学習した学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。ログカテゴリ推定モデルは、1つの通信ログから複数のカテゴリを推論するモデルであってもよく、複数のカテゴリを推論する場合において、各カテゴリの信頼度等を求めてもよい。ログカテゴリ推定部124が推定したカテゴリは第2推定カテゴリとも呼ばれる。第2推定カテゴリは対象装置が有するコンテンツのカテゴリを推定した結果である。なお、ログカテゴリ推定部124は、通信先情報の情報に依存したモデルにならないよう、通信先情報を用いずにログカテゴリ推定モデルを作成する。また、ログカテゴリ推定部124は、ログカテゴリ推定モデルを学習せず、他の装置等が生成したログカテゴリ推定モデルを用いてもよい。ログカテゴリ推定部124の構成は、カテゴリ学習部と、カテゴリ判定部とを備える構成であってもよい。
セキュリティ監視装置100又は監視対象システム200は、ログカテゴリ推定モデルを学習するために監視対象システム200の通信ログを適宜保存する。
また、本実施の形態に係るカテゴリ比較部123は、第1推定カテゴリと第2推定カテゴリと比較用カテゴリとが一致するか否かを判定する。カテゴリ比較部123の構成は、新旧比較部と、ログ比較部とを備える構成であってもよい。
本実施の形態に係る情報付与部130は、第1推定カテゴリと第2推定カテゴリと比較用カテゴリとの一致状況に応じた付与情報を生成する。
また、本実施の形態に係るカテゴリ比較部123は、第1推定カテゴリと第2推定カテゴリと比較用カテゴリとが一致するか否かを判定する。カテゴリ比較部123の構成は、新旧比較部と、ログ比較部とを備える構成であってもよい。
本実施の形態に係る情報付与部130は、第1推定カテゴリと第2推定カテゴリと比較用カテゴリとの一致状況に応じた付与情報を生成する。
***動作の説明***
図9は、セキュリティ監視装置100の学習時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置100の学習時における動作を説明する。
図9は、セキュリティ監視装置100の学習時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置100の学習時における動作を説明する。
(ステップS201)
本ステップは、ステップS101と同様である。
本ステップは、ステップS101と同様である。
(ステップS202)
本ステップは、ステップS102と同様である。
本ステップは、ステップS102と同様である。
(ステップS203)
本ステップは、ステップS103と同様である。
本ステップは、ステップS103と同様である。
(ステップS204)
本ステップは、ステップS104と同様である。
本ステップは、ステップS104と同様である。
(ステップS205)
本ステップは、ステップS105と同様である。
本ステップは、ステップS105と同様である。
(ステップS206)
ログカテゴリ推定部124は、カテゴリDB170が記録しているカテゴリを示す各データと、カテゴリを示す各データに対応する通信ログとを用いてログカテゴリ推定モデルを作成する。
ログカテゴリ推定部124は、カテゴリDB170が記録しているカテゴリを示す各データと、カテゴリを示す各データに対応する通信ログとを用いてログカテゴリ推定モデルを作成する。
図10は、セキュリティ監視装置100の検知時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置100の学習時における動作を説明する。
(ステップS221)
本ステップは、ステップS121と同様である。
本ステップは、ステップS121と同様である。
(ステップS222)
本ステップは、ステップS122と同様である。
本ステップは、ステップS122と同様である。
(ステップS223)
本ステップは、ステップS123と同様である。
本ステップは、ステップS123と同様である。
(ステップS224)
本ステップは、ステップS124と同様である。
本ステップは、ステップS124と同様である。
(ステップS225)
ログカテゴリ推定部124は、ログカテゴリ推定モデルと、ステップS222において取得した通信ログとを用いて、通信先が有するコンテンツのカテゴリを推定する。
ログカテゴリ推定部124は、ログカテゴリ推定モデルと、ステップS222において取得した通信ログとを用いて、通信先が有するコンテンツのカテゴリを推定する。
(ステップS226)
カテゴリ比較部123は、ステップS125と同様の処理を実行する。また、カテゴリ比較部123は、カテゴリDB170を参照して確認したカテゴリと、ステップS225において推定したカテゴリとの間に一貫性があるか否かを判定する。
カテゴリ比較部123は、ステップS125と同様の処理を実行する。また、カテゴリ比較部123は、カテゴリDB170を参照して確認したカテゴリと、ステップS225において推定したカテゴリとの間に一貫性があるか否かを判定する。
(ステップS227)
本ステップはステップS126と同様である。ただし、情報付与部130は、ステップS226において用いる3つのカテゴリ全てが同一である場合にのみ、通信先のカテゴリに一貫性がある場合における処理を実行する。
また、通信先のカテゴリに一貫性がない場合において、情報付与部130は、通信先の過去におけるカテゴリと、ステップS224において推定したカテゴリと、ステップS225において推定したカテゴリとの各々を示す付与情報をアラートに付与する。
本ステップはステップS126と同様である。ただし、情報付与部130は、ステップS226において用いる3つのカテゴリ全てが同一である場合にのみ、通信先のカテゴリに一貫性がある場合における処理を実行する。
また、通信先のカテゴリに一貫性がない場合において、情報付与部130は、通信先の過去におけるカテゴリと、ステップS224において推定したカテゴリと、ステップS225において推定したカテゴリとの各々を示す付与情報をアラートに付与する。
***実施の形態2の効果の説明***
以上のように、本実施の形態によれば、コンテンツカテゴリ推定モデルに加えてログカテゴリ推定モデルを用いてコンテンツのカテゴリを推定するため、カテゴリの推定精度をより高めることができる。
以上のように、本実施の形態によれば、コンテンツカテゴリ推定モデルに加えてログカテゴリ推定モデルを用いてコンテンツのカテゴリを推定するため、カテゴリの推定精度をより高めることができる。
実施の形態3.
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
***構成の説明***
図11は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視装置100は、実施の形態2に係るセキュリティ監視装置100と比較して情報提示DB180をさらに備える。
情報提示DB180は、情報付与部130が付与する付与情報と、情報付与部130が付与情報を付与する規則である情報提示規則とを記録している。
本実施の形態に係る情報付与部130は、情報提示規則に従って付与情報を生成し、また、情報提示DB180に則って付与情報をアラートに付与する。
図11は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視装置100は、実施の形態2に係るセキュリティ監視装置100と比較して情報提示DB180をさらに備える。
情報提示DB180は、情報付与部130が付与する付与情報と、情報付与部130が付与情報を付与する規則である情報提示規則とを記録している。
本実施の形態に係る情報付与部130は、情報提示規則に従って付与情報を生成し、また、情報提示DB180に則って付与情報をアラートに付与する。
***動作の説明***
本実施の形態に係るセキュリティ監視装置100の動作は、基本的に実施の形態2に係るセキュリティ監視装置100と同じである。本実施の形態に係るセキュリティ監視装置100の特徴的な動作を主に説明する。
本実施の形態に係るセキュリティ監視装置100の動作は、基本的に実施の形態2に係るセキュリティ監視装置100と同じである。本実施の形態に係るセキュリティ監視装置100の特徴的な動作を主に説明する。
(ステップS227)
情報付与部130は、情報提示DB180に則って付与情報をアラートに付与する。
図12は、情報付与部130が付与する付与情報の具体例を示している。本図において、「優先度」欄は、監視対象システム200を確認すべき度合い、即ち、監視対象システム200に異常が発生している可能性を示している。
また、図12において、「全一致」は、3つのカテゴリが全て一致することを示す。「全一致」である場合、情報付与部130は、通信ログの異常検知が誤検知である可能性が高いことを示す付与情報をアラートに付与する。
「過去不一致」は、今回のカテゴリとログのカテゴリとは一致し、今回のカテゴリと過去のカテゴリとは一致しないことを示す。ここで、今回のカテゴリはコンテンツカテゴリ推定モデルを用いて推定したカテゴリであり、過去のカテゴリはカテゴリDB170が記録しているカテゴリであり、ログのカテゴリはログカテゴリ推定モデルを用いて推定したカテゴリである。「過去不一致」である場合、情報付与部130は、通信先が有するコンテンツのカテゴリが変わったために、通信先の通信ログの傾向が変化した可能性があることを示す付与情報をアラートに付与する。
「今回不一致」は、過去のカテゴリとログのカテゴリとは一致し、今回のカテゴリとログのカテゴリとは一致しないことを示す。「今回不一致」である場合、情報付与部130は、通信先が有するコンテンツのカテゴリが変化したと考えられるが、通信ログの傾向に変化がないことを示す付与情報をアラートに付与する。
「ログ不一致」は、過去のカテゴリと今回のカテゴリとは一致し、今回のカテゴリログのカテゴリとは一致しないことを示す。「ログ不一致」である場合、情報付与部130は、コンテンツのカテゴリは変化していないものの、通信先におけるアクセス傾向が変化したことを示す付与情報をアラートに付与する。
「全不一致」は、3つのカテゴリが互いに異なることを示す。「全不一致」である場合、情報付与部130は、通信先に異常が発生している可能性が高いことを示す付与情報をアラートに付与する。
情報付与部130は、情報提示DB180に則って付与情報をアラートに付与する。
図12は、情報付与部130が付与する付与情報の具体例を示している。本図において、「優先度」欄は、監視対象システム200を確認すべき度合い、即ち、監視対象システム200に異常が発生している可能性を示している。
また、図12において、「全一致」は、3つのカテゴリが全て一致することを示す。「全一致」である場合、情報付与部130は、通信ログの異常検知が誤検知である可能性が高いことを示す付与情報をアラートに付与する。
「過去不一致」は、今回のカテゴリとログのカテゴリとは一致し、今回のカテゴリと過去のカテゴリとは一致しないことを示す。ここで、今回のカテゴリはコンテンツカテゴリ推定モデルを用いて推定したカテゴリであり、過去のカテゴリはカテゴリDB170が記録しているカテゴリであり、ログのカテゴリはログカテゴリ推定モデルを用いて推定したカテゴリである。「過去不一致」である場合、情報付与部130は、通信先が有するコンテンツのカテゴリが変わったために、通信先の通信ログの傾向が変化した可能性があることを示す付与情報をアラートに付与する。
「今回不一致」は、過去のカテゴリとログのカテゴリとは一致し、今回のカテゴリとログのカテゴリとは一致しないことを示す。「今回不一致」である場合、情報付与部130は、通信先が有するコンテンツのカテゴリが変化したと考えられるが、通信ログの傾向に変化がないことを示す付与情報をアラートに付与する。
「ログ不一致」は、過去のカテゴリと今回のカテゴリとは一致し、今回のカテゴリログのカテゴリとは一致しないことを示す。「ログ不一致」である場合、情報付与部130は、コンテンツのカテゴリは変化していないものの、通信先におけるアクセス傾向が変化したことを示す付与情報をアラートに付与する。
「全不一致」は、3つのカテゴリが互いに異なることを示す。「全不一致」である場合、情報付与部130は、通信先に異常が発生している可能性が高いことを示す付与情報をアラートに付与する。
***実施の形態3の効果の説明***
以上のように、本実施の形態によれば、情報付与部130が情報提示DB180に則って情報を付与するため、ユーザが通信ログの異常の詳細を把握しやすくなる。
以上のように、本実施の形態によれば、情報付与部130が情報提示DB180に則って情報を付与するため、ユーザが通信ログの異常の詳細を把握しやすくなる。
実施の形態4.
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
***構成の説明***
図13は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視システム90は、実施の形態3に係るセキュリティ監視システム90と比較してコンテンツDB190をさらに備える。コンテンツDB190は、セキュリティ監視装置100と一体的に構成されていてもよい。
なお、図13は実施の形態3をベースとした本実施の形態の構成を示しているが、本実施の形態は実施の形態1又は2をベースとしたものであってもよい。
コンテンツDB190は、監視対象システム200が有するコンテンツを示すデータを記録する。コンテンツDB190は、監視対象システム200からコンテンツを示すデータを適宜取得し、取得したデータを記録する。コンテンツDB190は、コンテンツを示すデータを、コンテンツを示すデータを取得した時点を示すデータと紐づけて記録してもよい。
本実施の形態に係るコンテンツカテゴリ推定部122は、対象装置が有するコンテンツを示すデータが格納されたデータベースから取得したデータを用いる。
図13は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視システム90は、実施の形態3に係るセキュリティ監視システム90と比較してコンテンツDB190をさらに備える。コンテンツDB190は、セキュリティ監視装置100と一体的に構成されていてもよい。
なお、図13は実施の形態3をベースとした本実施の形態の構成を示しているが、本実施の形態は実施の形態1又は2をベースとしたものであってもよい。
コンテンツDB190は、監視対象システム200が有するコンテンツを示すデータを記録する。コンテンツDB190は、監視対象システム200からコンテンツを示すデータを適宜取得し、取得したデータを記録する。コンテンツDB190は、コンテンツを示すデータを、コンテンツを示すデータを取得した時点を示すデータと紐づけて記録してもよい。
本実施の形態に係るコンテンツカテゴリ推定部122は、対象装置が有するコンテンツを示すデータが格納されたデータベースから取得したデータを用いる。
***動作の説明***
本実施の形態に係るセキュリティ監視装置100の動作は、前述の実施の形態に係るセキュリティ監視装置100の動作と基本的に同じである。
ただし、コンテンツ取得部121は、監視対象システム200からコンテンツを示すデータを取得する代わりに、コンテンツDB190が記録しているデータを取得する。
本実施の形態に係るセキュリティ監視装置100の動作は、前述の実施の形態に係るセキュリティ監視装置100の動作と基本的に同じである。
ただし、コンテンツ取得部121は、監視対象システム200からコンテンツを示すデータを取得する代わりに、コンテンツDB190が記録しているデータを取得する。
***実施の形態4の効果の説明***
本実施の形態によれば、コンテンツ取得部121は、監視対象システム200の代わりにコンテンツDB190からコンテンツを示すデータを取得する。そのため、本実施の形態によれば、コンテンツ取得部121は、コンテンツ認証機能を有するサイト等のコンテンツを適切に取得することができる。
本実施の形態によれば、コンテンツ取得部121は、監視対象システム200の代わりにコンテンツDB190からコンテンツを示すデータを取得する。そのため、本実施の形態によれば、コンテンツ取得部121は、コンテンツ認証機能を有するサイト等のコンテンツを適切に取得することができる。
***他の実施の形態***
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から4で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から4で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
11 プロセッサ、12 メモリ、13 補助記憶装置、14 入出力IF、15 通信装置、18 処理回路、19 信号線、90 セキュリティ監視システム、100 セキュリティ監視装置、110 通信異常検知部、120 一貫性判定部、121 コンテンツ取得部、122 コンテンツカテゴリ推定部、123 カテゴリ比較部、124 ログカテゴリ推定部、130 情報付与部、170 カテゴリDB、180 情報提示DB、190 コンテンツDB、200 監視対象システム、210 ログ採取装置。
Claims (10)
- 監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定部と、
前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較部と、
前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与部と
を備えるセキュリティ監視装置。 - 前記比較用カテゴリは、過去において、前記対象装置が有するコンテンツのカテゴリを、前記コンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定した結果である請求項1に記載のセキュリティ監視装置。
- 前記コンテンツカテゴリ推定モデルは、コンテンツを示すデータと、カテゴリとの関係を学習した学習モデルである請求項1又は2に記載のセキュリティ監視装置。
- 前記セキュリティ監視装置は、さらに、
前記対象装置が有するコンテンツのカテゴリを推定した結果である第2推定カテゴリを、コンテンツを有する装置であるコンテンツ装置の通信ログを用いて前記コンテンツ装置が有するコンテンツのカテゴリを推定する学習モデルであるログカテゴリ推定モデルと、前記対象装置の通信ログとを用いて推定するログカテゴリ推定部
を備え、
前記カテゴリ比較部は、前記第1推定カテゴリと前記第2推定カテゴリと前記比較用カテゴリとが一致するか否かを判定し、
前記情報付与部は、前記第1推定カテゴリと前記第2推定カテゴリと前記比較用カテゴリとの一致状況に応じた付与情報を生成する請求項1から3のいずれか1項に記載のセキュリティ監視装置。 - 前記ログカテゴリ推定モデルは、コンテンツを有する装置の通信ログと、カテゴリとの関係を学習した学習モデルである請求項4に記載のセキュリティ監視装置。
- 前記コンテンツカテゴリ推定部は、前記対象装置が有するコンテンツを示すデータが格納されたデータベースから取得したデータを用いる請求項1から5のいずれか1項に記載のセキュリティ監視装置。
- 前記情報付与部は、情報提示規則に従って前記付与情報を生成する請求項1から6のいずれか1項に記載のセキュリティ監視装置。
- 前記セキュリティ監視装置は、さらに、
コンテンツを有する装置であるコンテンツ装置の通信ログを用いて前記コンテンツ装置の通信ログが異常であるか否かを推定する学習モデルである正常通信推定モデルと、前記対象装置の通信ログとを用いて前記対象装置の通信ログが正常であるか否かを推定し、前記対象装置の通信ログが正常ではないと推定された場合にアラートを生成する通信異常検知部
を備え、
前記情報付与部は、前記対象装置の通信ログが正常ではないと前記正常通信推定モデルによって推定された場合に、生成した付与情報を、生成されたアラートに付与する請求項1から7のいずれか1項に記載のセキュリティ監視装置。 - コンピュータが、監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定し、
前記コンピュータが、前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定し、
前記コンピュータが、前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成するセキュリティ監視方法。 - 監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定処理と、
前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較処理と、
前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与処理と
をコンピュータであるセキュリティ監視装置に実行させるセキュリティ監視プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/023249 WO2022264420A1 (ja) | 2021-06-18 | 2021-06-18 | セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022264420A1 JPWO2022264420A1 (ja) | 2022-12-22 |
| JP7357825B2 true JP7357825B2 (ja) | 2023-10-06 |
Family
ID=84526001
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023526132A Active JP7357825B2 (ja) | 2021-06-18 | 2021-06-18 | セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240080330A1 (ja) |
| JP (1) | JP7357825B2 (ja) |
| CN (1) | CN117461033A (ja) |
| WO (1) | WO2022264420A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002149496A (ja) | 2000-11-08 | 2002-05-24 | Hitachi Ltd | Webサーバ装置 |
| JP2013196382A (ja) | 2012-03-19 | 2013-09-30 | Nippon Telegr & Teleph Corp <Ntt> | 文書分類方法、装置、及びプログラム |
| CN111191695A (zh) | 2019-12-19 | 2020-05-22 | 杭州安恒信息技术股份有限公司 | 一种基于深度学习的网站图片篡改检测方法 |
-
2021
- 2021-06-18 CN CN202180099236.3A patent/CN117461033A/zh active Pending
- 2021-06-18 WO PCT/JP2021/023249 patent/WO2022264420A1/ja active Application Filing
- 2021-06-18 JP JP2023526132A patent/JP7357825B2/ja active Active
-
2023
- 2023-10-30 US US18/384,926 patent/US20240080330A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002149496A (ja) | 2000-11-08 | 2002-05-24 | Hitachi Ltd | Webサーバ装置 |
| JP2013196382A (ja) | 2012-03-19 | 2013-09-30 | Nippon Telegr & Teleph Corp <Ntt> | 文書分類方法、装置、及びプログラム |
| CN111191695A (zh) | 2019-12-19 | 2020-05-22 | 杭州安恒信息技术股份有限公司 | 一种基于深度学习的网站图片篡改检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117461033A (zh) | 2024-01-26 |
| JPWO2022264420A1 (ja) | 2022-12-22 |
| WO2022264420A1 (ja) | 2022-12-22 |
| US20240080330A1 (en) | 2024-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8321934B1 (en) | Anti-phishing early warning system based on end user data submission statistics | |
| JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| US11138095B2 (en) | Identity propagation through application layers using contextual mapping and planted values | |
| US8904520B1 (en) | Communication-based reputation system | |
| US9262638B2 (en) | Hygiene based computer security | |
| US8595282B2 (en) | Simplified communication of a reputation score for an entity | |
| KR101702614B1 (ko) | 온라인 사기 검출 동적 점수 합계 시스템 및 방법 | |
| US20190028508A1 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
| US20180034837A1 (en) | Identifying compromised computing devices in a network | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| US11960604B2 (en) | Online assets continuous monitoring and protection | |
| JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US8713674B1 (en) | Systems and methods for excluding undesirable network transactions | |
| Yen et al. | Browser fingerprinting from coarse traffic summaries: Techniques and implications | |
| US10979446B1 (en) | Automated vulnerability chaining | |
| US8839432B1 (en) | Method and apparatus for performing a reputation based analysis on a malicious infection to secure a computer | |
| WO2016209728A1 (en) | Systems and methods for categorization of web assets | |
| CN109361574B (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| US9230105B1 (en) | Detecting malicious tampering of web forms | |
| EP4264462A1 (en) | Dysfunctional device detection tool | |
| US20070240225A1 (en) | Architecture for automatic HTTPS boundary identification | |
| US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
| US8516100B1 (en) | Method and apparatus for detecting system message misrepresentation using a keyword analysis | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230427 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230801 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230822 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230829 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230926 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7357825 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |