JP7357825B2 - セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム - Google Patents
セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム Download PDFInfo
- Publication number
- JP7357825B2 JP7357825B2 JP2023526132A JP2023526132A JP7357825B2 JP 7357825 B2 JP7357825 B2 JP 7357825B2 JP 2023526132 A JP2023526132 A JP 2023526132A JP 2023526132 A JP2023526132 A JP 2023526132A JP 7357825 B2 JP7357825 B2 JP 7357825B2
- Authority
- JP
- Japan
- Prior art keywords
- category
- content
- security monitoring
- communication
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012806 monitoring device Methods 0.000 title claims description 66
- 238000000034 method Methods 0.000 title claims description 19
- 238000012544 monitoring process Methods 0.000 title claims description 17
- 238000004891 communication Methods 0.000 claims description 181
- 230000005856 abnormality Effects 0.000 claims description 31
- 238000001514 detection method Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 230000008859 change Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
Description
特許文献1は、URL(Uniform Resource Locator)をドメイン又はカテゴリレベル等の荒い粒度で分類し、分類した結果に応じたルールを用いて通信に関する異常を判定し、判定結果と、異常の原因に関する情報とを管理者に提示する技術を開示している。
監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定部と、
前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較部と、
前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与部と
を備える。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
本実施の形態は、基本的には、通信先のコンテンツのカテゴリは、正常時であれば変化せず、攻撃者によって改ざんされた場合等に変化するという仮定に基づく。
図1は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。セキュリティ監視システム90は、本図に示すように、セキュリティ監視装置100と、監視対象システム200とを備える。セキュリティ監視装置100と、監視対象システム200との各々は複数存在してもよい。セキュリティ監視装置100と、監視対象システム200とは適宜一体的に構成されていてもよい。
図2は、通信ログの具体例を示している。通信ログは、通信先のIP(Internet Protocol)アドレスと、通信日時等の情報から成る。
コンテンツ取得部121は、通信ログに含まれる通信先の情報に基づいて通信先が有するコンテンツを取得する。通信先は、監視対象システム200であってもよく、監視対象システム200が備えるサーバ等であってもよい。コンテンツは、具体例として、ウェブサイトに表示される内容、又はファイルサーバに格納されているファイルの内容である。
コンテンツカテゴリ推定部122は、コンテンツを示すデータを用いてコンテンツを示すコンテンツデータを用いてコンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルを学習し、対象装置が有するコンテンツのカテゴリを、学習したコンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定する。コンテンツカテゴリ推定部122が推定したカテゴリは第1推定カテゴリとも呼ばれる。第1推定カテゴリは、対象装置が有するコンテンツのカテゴリを推定した結果である。コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルを学習せず、他の装置等が生成したコンテンツカテゴリ推定モデルを用いてもよい。コンテンツカテゴリ推定モデルは、コンテンツを示すデータを入力とし、入力されたデータに対応するカテゴリを推定する。コンテンツカテゴリ推定モデルは、コンテンツを示すデータと、カテゴリとの関係を学習した学習モデルであり、機械学習に基づく推論モデルであってもよく、ルールベース等、ルールに基づく方式を採用するプログラム等であってもよい。コンテンツカテゴリ推定モデルは、1つのコンテンツから複数のカテゴリを推論するモデルであってもよく、複数のカテゴリを推論する場合において、各カテゴリの信頼度等を求めてもよい。コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルを学習する際にどのような既存技術を用いてもよい。コンテンツカテゴリ推定部122の構成は、カテゴリ学習部とカテゴリ判定部とを備える構成であってもよい。
カテゴリ比較部123は、コンテンツカテゴリ推定部122が推定したカテゴリと、カテゴリDB170とを参照して、現在における通信先が有するコンテンツのカテゴリと、過去における通信先が有するコンテンツのカテゴリとを比較する。カテゴリ比較部123の構成は、新旧比較部を備える構成であってもよい。カテゴリ比較部123は、第1推定カテゴリと比較用カテゴリとが一致するか否かを判定する。比較用カテゴリは、過去において、対象装置が有するコンテンツのカテゴリを、コンテンツカテゴリ推定モデルと、対象装置が有するコンテンツを示すデータとを用いて推定した結果であってもよい。
なお、サーバが有するコンテンツのカテゴリが同じである場合にサーバの通信ログが類似し、また、サーバが有するコンテンツのカテゴリが互いに異なる場合にサーバの通信ログが類似しないと考えられる。カテゴリは、具体例として、ニュース、検索サービス、天気、又はSNS(Social Networking Service)である。攻撃者によってサーバが有するコンテンツの内容が改ざんされた場合、改ざんの前後でサーバが有するコンテンツのカテゴリに変化が生じると考えられる。そこで、一貫性判定部120は、通信先が有するコンテンツのカテゴリを推定し、推定したカテゴリと、通信先が正常である場合において確認した通信先が有するコンテンツのカテゴリとに一貫性があるか否かを判定する。
ログ採取装置210は、監視対象システム200の通信ログを採取し、採取した通信ログを保存する。
セキュリティ監視装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
セキュリティ監視装置100の動作手順は、セキュリティ監視方法に相当する。また、セキュリティ監視装置100の動作を実現するプログラムは、セキュリティ監視プログラムに相当する。
監視対象システム200が正常である場合において、ログ採取装置210は、監視対象システム200の通信ログを収集する。
通信異常検知部110は、ログ採取装置210が収集した通信ログを取得し、取得した通信ログを用いて正常通信推定モデルを学習する。なお、通信異常検知部110は、監視対象システム200が正常ではない場合における監視対象システム200の通信ログを用いて正常通信推定モデルを学習してもよい。
コンテンツ取得部121は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを取得する。
コンテンツカテゴリ推定部122は、取得したコンテンツを用いてコンテンツカテゴリ推定モデルを学習する。コンテンツカテゴリ推定部122がコンテンツカテゴリ推定モデルを学習する際に、取得したコンテンツのカテゴリを示すデータが教師データとして与えられてもよい。
コンテンツカテゴリ推定部122は、通信先が有するコンテンツを示すデータを取得し、ステップS103において取得した通信先情報が示す通信先が有するコンテンツのカテゴリを、取得したデータと、コンテンツカテゴリ推定モデルとを用いて推定する。その後、コンテンツカテゴリ推定部122は、当該通信先情報と、推定したカテゴリとの組を示すデータをカテゴリDB170に記録する。
ログ採取装置210は、監視対象システム200の通信ログを収集する。
通信異常検知部110は、ログ採取装置210が収集した通信ログを取得し、正常通信推定モデルと、取得した通信ログとを用いて、取得した通信ログが正常であるか否かを判定する。この際、通信異常検知部110は、正常通信推定モデルからアラートが出力されるか否かを確認してもよい。
通信ログが正常であると判定された場合、セキュリティ監視装置100は本フローチャートの処理を終了する。それ以外の場合、セキュリティ監視装置100は、アラートを生成し、ステップS123に進む。
コンテンツ取得部121は、通信ログが示す通信先情報を取得し、取得した通信先情報を用いて当該通信先情報が示す通信先にアクセスし、通信先が有するコンテンツを示すデータを取得する。
コンテンツカテゴリ推定部122は、コンテンツカテゴリ推定モデルと、取得したコンテンツを示すデータとを用いて、通信先が有するコンテンツのカテゴリを推定する。
カテゴリ比較部123は、通信先のカテゴリに一貫性があるか否かを判定する。
具体的には、まず、カテゴリ比較部123は、ステップS123において取得した通信先情報が示す通信先のコンテンツの過去におけるカテゴリを、カテゴリDB170を参照して確認する。次に、カテゴリ比較部123は、カテゴリDB170を参照して確認したカテゴリと、ステップS124において推定したカテゴリとの間に一貫性があるか否かを判定する。
なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合において、カテゴリ比較部123は、本ステップの処理をスキップしてもよく、ステップS123において取得した通信先情報と、ステップS124において推定したカテゴリとの組を示すデータをカテゴリDB170に記録してもよい。
通信先のカテゴリに一貫性がある場合、情報付与部130はステップS124において推定したカテゴリを示す付与情報をアラートに付与する。それ以外の場合、情報付与部130は、カテゴリの変化を示す付与情報として、通信先の過去におけるカテゴリと、ステップS124において推定したカテゴリとの各々を示す情報をアラートに付与する。
なお、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合、情報付与部130はその旨を示す付与情報をアラートに付与してもよい。
図6は、情報付与部130が付与する付与情報の具体例を示している。図6において、「比較結果」欄はカテゴリ比較部123が比較した結果を示している。なお、「比較対象なし」は、通信先情報が示す通信先のコンテンツの過去におけるカテゴリを示すデータをカテゴリDB170が記録していない場合に対応する。「付与情報」欄は、情報付与部130が生成する付与情報を示している。
セキュリティ監視装置100は、アラートをオペレータ等に適宜伝達する。
以上のように、本実施の形態によれば、監視対象システム200の通信ログに異常がある場合において、通信先が有するコンテンツのカテゴリが過去から変化したか否かを確認し、確認した結果を示す情報を出力する。出力された情報は、ユーザ側と通信先側とのどちらに通信に関する異常の原因があると考えられるかを監視対象システム200のオペレータ等が判断する際に役立つ。そのため、本実施の形態によれば、オペレータ等は、出力された結果に基づいて、通信ログの異常の原因が、ユーザ側にあるのか、通信先側にあるのかを把握しやすくなり、通信ログの異常に対処しやすくなる。ここで、ユーザ側は通信先にアクセスする端末等を意味する。ユーザ側に起因する通信ログの異常は、具体例として、内部犯、攻撃者、若しくはマルウェアによって普段と違う通信ログが発生すること、又は、偶然に発生した事由により普段と違う通信ログが発生することによって生じる。通信先側に起因する異常は、具体例として、乗っ取り若しくは改ざん等の悪意のあるコンテンツ変更、又は、正規なコンテンツ変更により普段と違う通信ログが発生することにより生じる。ここで、送信先における正規のコンテンツ変更によってユーザの送信先に対する活動が変化した場合において、通信ログの学習時とは異なる特徴が現れ、通信ログが異常と誤って判断される可能性がある。通信ログから収集される特徴のみからでは、送信先のコンテンツが変更されたか否かを把握することができないが、本実施の形態によれば、現在の送信先のコンテンツのカテゴリと過去における送信先のコンテンツのカテゴリとを比較した結果を出力することにより、オペレータ等はコンテンツの変更等を比較的容易に把握することができる。
また、本実施の形態によれば、悪性URL等として登録されていない通信先の通信に関する異常に対応することができ、さらに、学習モデルとカテゴリとドメイン等のみを管理すればよいため、管理すべきモデル及び比較用データの量が比較的少なくて済む。
<変形例1>
図7は、本変形例に係るセキュリティ監視装置100のハードウェア構成例を示している。
セキュリティ監視装置100は、プロセッサ11、プロセッサ11とメモリ12、プロセッサ11と補助記憶装置13、あるいはプロセッサ11とメモリ12と補助記憶装置13とに代えて、処理回路18を備える。
処理回路18は、セキュリティ監視装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
セキュリティ監視装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、セキュリティ監視装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
他の実施の形態に係るセキュリティ監視装置100についても、本変形例と同様の構成であってもよい。また、ログ採取装置210の構成も本変形例と同様の構成であってもよい。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
本実施の形態は、基本的には、複数の通信先が有するコンテンツのカテゴリが同じであれば、複数の通信先の各々の通信ログが類似するという仮定に基づく。
図8は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視装置100は、実施の形態1に係るセキュリティ監視装置100と比較してログカテゴリ推定部124をさらに備える。
また、本実施の形態に係るカテゴリ比較部123は、第1推定カテゴリと第2推定カテゴリと比較用カテゴリとが一致するか否かを判定する。カテゴリ比較部123の構成は、新旧比較部と、ログ比較部とを備える構成であってもよい。
本実施の形態に係る情報付与部130は、第1推定カテゴリと第2推定カテゴリと比較用カテゴリとの一致状況に応じた付与情報を生成する。
図9は、セキュリティ監視装置100の学習時における動作の一例を示すフローチャートである。本図を参照してセキュリティ監視装置100の学習時における動作を説明する。
本ステップは、ステップS101と同様である。
本ステップは、ステップS102と同様である。
本ステップは、ステップS103と同様である。
本ステップは、ステップS104と同様である。
本ステップは、ステップS105と同様である。
ログカテゴリ推定部124は、カテゴリDB170が記録しているカテゴリを示す各データと、カテゴリを示す各データに対応する通信ログとを用いてログカテゴリ推定モデルを作成する。
本ステップは、ステップS121と同様である。
本ステップは、ステップS122と同様である。
本ステップは、ステップS123と同様である。
本ステップは、ステップS124と同様である。
ログカテゴリ推定部124は、ログカテゴリ推定モデルと、ステップS222において取得した通信ログとを用いて、通信先が有するコンテンツのカテゴリを推定する。
カテゴリ比較部123は、ステップS125と同様の処理を実行する。また、カテゴリ比較部123は、カテゴリDB170を参照して確認したカテゴリと、ステップS225において推定したカテゴリとの間に一貫性があるか否かを判定する。
本ステップはステップS126と同様である。ただし、情報付与部130は、ステップS226において用いる3つのカテゴリ全てが同一である場合にのみ、通信先のカテゴリに一貫性がある場合における処理を実行する。
また、通信先のカテゴリに一貫性がない場合において、情報付与部130は、通信先の過去におけるカテゴリと、ステップS224において推定したカテゴリと、ステップS225において推定したカテゴリとの各々を示す付与情報をアラートに付与する。
以上のように、本実施の形態によれば、コンテンツカテゴリ推定モデルに加えてログカテゴリ推定モデルを用いてコンテンツのカテゴリを推定するため、カテゴリの推定精度をより高めることができる。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
図11は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視装置100は、実施の形態2に係るセキュリティ監視装置100と比較して情報提示DB180をさらに備える。
情報提示DB180は、情報付与部130が付与する付与情報と、情報付与部130が付与情報を付与する規則である情報提示規則とを記録している。
本実施の形態に係る情報付与部130は、情報提示規則に従って付与情報を生成し、また、情報提示DB180に則って付与情報をアラートに付与する。
本実施の形態に係るセキュリティ監視装置100の動作は、基本的に実施の形態2に係るセキュリティ監視装置100と同じである。本実施の形態に係るセキュリティ監視装置100の特徴的な動作を主に説明する。
情報付与部130は、情報提示DB180に則って付与情報をアラートに付与する。
図12は、情報付与部130が付与する付与情報の具体例を示している。本図において、「優先度」欄は、監視対象システム200を確認すべき度合い、即ち、監視対象システム200に異常が発生している可能性を示している。
また、図12において、「全一致」は、3つのカテゴリが全て一致することを示す。「全一致」である場合、情報付与部130は、通信ログの異常検知が誤検知である可能性が高いことを示す付与情報をアラートに付与する。
「過去不一致」は、今回のカテゴリとログのカテゴリとは一致し、今回のカテゴリと過去のカテゴリとは一致しないことを示す。ここで、今回のカテゴリはコンテンツカテゴリ推定モデルを用いて推定したカテゴリであり、過去のカテゴリはカテゴリDB170が記録しているカテゴリであり、ログのカテゴリはログカテゴリ推定モデルを用いて推定したカテゴリである。「過去不一致」である場合、情報付与部130は、通信先が有するコンテンツのカテゴリが変わったために、通信先の通信ログの傾向が変化した可能性があることを示す付与情報をアラートに付与する。
「今回不一致」は、過去のカテゴリとログのカテゴリとは一致し、今回のカテゴリとログのカテゴリとは一致しないことを示す。「今回不一致」である場合、情報付与部130は、通信先が有するコンテンツのカテゴリが変化したと考えられるが、通信ログの傾向に変化がないことを示す付与情報をアラートに付与する。
「ログ不一致」は、過去のカテゴリと今回のカテゴリとは一致し、今回のカテゴリログのカテゴリとは一致しないことを示す。「ログ不一致」である場合、情報付与部130は、コンテンツのカテゴリは変化していないものの、通信先におけるアクセス傾向が変化したことを示す付与情報をアラートに付与する。
「全不一致」は、3つのカテゴリが互いに異なることを示す。「全不一致」である場合、情報付与部130は、通信先に異常が発生している可能性が高いことを示す付与情報をアラートに付与する。
以上のように、本実施の形態によれば、情報付与部130が情報提示DB180に則って情報を付与するため、ユーザが通信ログの異常の詳細を把握しやすくなる。
以下、主に前述した実施の形態と異なる点について、図面を参照しながら説明する。
図13は、本実施の形態に係るセキュリティ監視システム90の構成例を示している。
本実施の形態に係るセキュリティ監視システム90は、実施の形態3に係るセキュリティ監視システム90と比較してコンテンツDB190をさらに備える。コンテンツDB190は、セキュリティ監視装置100と一体的に構成されていてもよい。
なお、図13は実施の形態3をベースとした本実施の形態の構成を示しているが、本実施の形態は実施の形態1又は2をベースとしたものであってもよい。
コンテンツDB190は、監視対象システム200が有するコンテンツを示すデータを記録する。コンテンツDB190は、監視対象システム200からコンテンツを示すデータを適宜取得し、取得したデータを記録する。コンテンツDB190は、コンテンツを示すデータを、コンテンツを示すデータを取得した時点を示すデータと紐づけて記録してもよい。
本実施の形態に係るコンテンツカテゴリ推定部122は、対象装置が有するコンテンツを示すデータが格納されたデータベースから取得したデータを用いる。
本実施の形態に係るセキュリティ監視装置100の動作は、前述の実施の形態に係るセキュリティ監視装置100の動作と基本的に同じである。
ただし、コンテンツ取得部121は、監視対象システム200からコンテンツを示すデータを取得する代わりに、コンテンツDB190が記録しているデータを取得する。
本実施の形態によれば、コンテンツ取得部121は、監視対象システム200の代わりにコンテンツDB190からコンテンツを示すデータを取得する。そのため、本実施の形態によれば、コンテンツ取得部121は、コンテンツ認証機能を有するサイト等のコンテンツを適切に取得することができる。
前述した各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態は、実施の形態1から4で示したものに限定されるものではなく、必要に応じて種々の変更が可能である。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
Claims (10)
- 監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定部と、
前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較部と、
前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与部と
を備えるセキュリティ監視装置。 - 前記比較用カテゴリは、過去において、前記対象装置が有するコンテンツのカテゴリを、前記コンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定した結果である請求項1に記載のセキュリティ監視装置。
- 前記コンテンツカテゴリ推定モデルは、コンテンツを示すデータと、カテゴリとの関係を学習した学習モデルである請求項1又は2に記載のセキュリティ監視装置。
- 前記セキュリティ監視装置は、さらに、
前記対象装置が有するコンテンツのカテゴリを推定した結果である第2推定カテゴリを、コンテンツを有する装置であるコンテンツ装置の通信ログを用いて前記コンテンツ装置が有するコンテンツのカテゴリを推定する学習モデルであるログカテゴリ推定モデルと、前記対象装置の通信ログとを用いて推定するログカテゴリ推定部
を備え、
前記カテゴリ比較部は、前記第1推定カテゴリと前記第2推定カテゴリと前記比較用カテゴリとが一致するか否かを判定し、
前記情報付与部は、前記第1推定カテゴリと前記第2推定カテゴリと前記比較用カテゴリとの一致状況に応じた付与情報を生成する請求項1から3のいずれか1項に記載のセキュリティ監視装置。 - 前記ログカテゴリ推定モデルは、コンテンツを有する装置の通信ログと、カテゴリとの関係を学習した学習モデルである請求項4に記載のセキュリティ監視装置。
- 前記コンテンツカテゴリ推定部は、前記対象装置が有するコンテンツを示すデータが格納されたデータベースから取得したデータを用いる請求項1から5のいずれか1項に記載のセキュリティ監視装置。
- 前記情報付与部は、情報提示規則に従って前記付与情報を生成する請求項1から6のいずれか1項に記載のセキュリティ監視装置。
- 前記セキュリティ監視装置は、さらに、
コンテンツを有する装置であるコンテンツ装置の通信ログを用いて前記コンテンツ装置の通信ログが異常であるか否かを推定する学習モデルである正常通信推定モデルと、前記対象装置の通信ログとを用いて前記対象装置の通信ログが正常であるか否かを推定し、前記対象装置の通信ログが正常ではないと推定された場合にアラートを生成する通信異常検知部
を備え、
前記情報付与部は、前記対象装置の通信ログが正常ではないと前記正常通信推定モデルによって推定された場合に、生成した付与情報を、生成されたアラートに付与する請求項1から7のいずれか1項に記載のセキュリティ監視装置。 - コンピュータが、監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定し、
前記コンピュータが、前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定し、
前記コンピュータが、前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成するセキュリティ監視方法。 - 監視対象システムが備える対象装置が有するコンテンツのカテゴリを推定した結果である第1推定カテゴリを、コンテンツを示すコンテンツデータを用いて前記コンテンツデータに示されるコンテンツのカテゴリを推定する学習モデルであるコンテンツカテゴリ推定モデルと、前記対象装置が有するコンテンツを示すデータとを用いて推定するコンテンツカテゴリ推定処理と、
前記第1推定カテゴリと比較用カテゴリとが一致するか否かを判定するカテゴリ比較処理と、
前記第1推定カテゴリと前記比較用カテゴリとが一致するか否かに応じた付与情報を生成する情報付与処理と
をコンピュータであるセキュリティ監視装置に実行させるセキュリティ監視プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/023249 WO2022264420A1 (ja) | 2021-06-18 | 2021-06-18 | セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2022264420A1 JPWO2022264420A1 (ja) | 2022-12-22 |
JP7357825B2 true JP7357825B2 (ja) | 2023-10-06 |
Family
ID=84526001
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023526132A Active JP7357825B2 (ja) | 2021-06-18 | 2021-06-18 | セキュリティ監視装置、セキュリティ監視方法、及び、セキュリティ監視プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US20240080330A1 (ja) |
JP (1) | JP7357825B2 (ja) |
CN (1) | CN117461033A (ja) |
WO (1) | WO2022264420A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002149496A (ja) | 2000-11-08 | 2002-05-24 | Hitachi Ltd | Webサーバ装置 |
JP2013196382A (ja) | 2012-03-19 | 2013-09-30 | Nippon Telegr & Teleph Corp <Ntt> | 文書分類方法、装置、及びプログラム |
CN111191695A (zh) | 2019-12-19 | 2020-05-22 | 杭州安恒信息技术股份有限公司 | 一种基于深度学习的网站图片篡改检测方法 |
-
2021
- 2021-06-18 CN CN202180099236.3A patent/CN117461033A/zh active Pending
- 2021-06-18 WO PCT/JP2021/023249 patent/WO2022264420A1/ja active Application Filing
- 2021-06-18 JP JP2023526132A patent/JP7357825B2/ja active Active
-
2023
- 2023-10-30 US US18/384,926 patent/US20240080330A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002149496A (ja) | 2000-11-08 | 2002-05-24 | Hitachi Ltd | Webサーバ装置 |
JP2013196382A (ja) | 2012-03-19 | 2013-09-30 | Nippon Telegr & Teleph Corp <Ntt> | 文書分類方法、装置、及びプログラム |
CN111191695A (zh) | 2019-12-19 | 2020-05-22 | 杭州安恒信息技术股份有限公司 | 一种基于深度学习的网站图片篡改检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117461033A (zh) | 2024-01-26 |
JPWO2022264420A1 (ja) | 2022-12-22 |
WO2022264420A1 (ja) | 2022-12-22 |
US20240080330A1 (en) | 2024-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8321934B1 (en) | Anti-phishing early warning system based on end user data submission statistics | |
JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
US11138095B2 (en) | Identity propagation through application layers using contextual mapping and planted values | |
US8904520B1 (en) | Communication-based reputation system | |
US9262638B2 (en) | Hygiene based computer security | |
US8595282B2 (en) | Simplified communication of a reputation score for an entity | |
KR101702614B1 (ko) | 온라인 사기 검출 동적 점수 합계 시스템 및 방법 | |
US20190028508A1 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
US20180034837A1 (en) | Identifying compromised computing devices in a network | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US8713674B1 (en) | Systems and methods for excluding undesirable network transactions | |
Yen et al. | Browser fingerprinting from coarse traffic summaries: Techniques and implications | |
US10979446B1 (en) | Automated vulnerability chaining | |
US8839432B1 (en) | Method and apparatus for performing a reputation based analysis on a malicious infection to secure a computer | |
WO2016209728A1 (en) | Systems and methods for categorization of web assets | |
CN109361574B (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
US9230105B1 (en) | Detecting malicious tampering of web forms | |
EP4264462A1 (en) | Dysfunctional device detection tool | |
US20070240225A1 (en) | Architecture for automatic HTTPS boundary identification | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
US8516100B1 (en) | Method and apparatus for detecting system message misrepresentation using a keyword analysis | |
JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230427 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230801 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230822 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230829 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230926 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7357825 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |