JPWO2019167225A1 - 情報処理装置、制御方法、及びプログラム - Google Patents
情報処理装置、制御方法、及びプログラム Download PDFInfo
- Publication number
- JPWO2019167225A1 JPWO2019167225A1 JP2020503209A JP2020503209A JPWO2019167225A1 JP WO2019167225 A1 JPWO2019167225 A1 JP WO2019167225A1 JP 2020503209 A JP2020503209 A JP 2020503209A JP 2020503209 A JP2020503209 A JP 2020503209A JP WO2019167225 A1 JPWO2019167225 A1 JP WO2019167225A1
- Authority
- JP
- Japan
- Prior art keywords
- event
- information
- model
- category
- classified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/86—Event-based monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
<概要>
図1は、実施形態1の情報処理装置の動作の概要を表す図である。図1は情報処理装置2000の動作についての理解を容易にするための概念的な図であり、情報処理装置2000の動作を具体的に限定するものではない。
標準装置20は正常に動作する蓋然性が高いコンピュータであるため、標準装置20でも発生するイベントは、標準装置20では発生しないイベントと比較して、正常なイベントである蓋然性が高いと考えられる。そのため、判定対象装置10で発生したイベントが警告対象であるか否かを判定する際に、そのイベントが標準装置20でも発生したものであるか否かを考慮することで、警告対象であるか否かを高精度に判定することができる。
図2は、実施形態1の情報処理装置2000の構成を例示する図である。情報処理装置2000は、取得部2020、分類部2040、第1学習部2060、及び第2学習部2080を有する。取得部2020は、第1イベント情報と第2イベント情報を取得する。第1イベント情報は、標準装置20においてプロセスが発生させたイベントに関する情報である。第2イベント情報は、判定対象装置10においてプロセスが発生させたイベントに関する情報である。
情報処理装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、情報処理装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
判定対象装置10は、PC、サーバマシン、タブレット端末、又はスマートフォンなどといった任意のコンピュータである。判定対象装置10は、1つであってもよいし、複数であってもよい。
標準装置20は、PC、サーバマシン、タブレット端末、又はスマートフォンなどといった任意のコンピュータである。前述したように、標準装置20は、正常に動作する蓋然性が高いコンピュータである。
図4は、実施形態1の情報処理装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は第1イベント情報を取得する(S102)。取得部2020は、第2イベント情報を取得する(S104)。分類部2040は、第2イベント情報に示される各イベントを、第1類と第2類に分類する(S106)。第1学習部2060は、第1類に分類されたイベントに関する第2イベント情報を用いて第1モデルの学習を行う(S108)。第2学習部2080は、第2類に分類されたイベントに関する第2イベント情報を用いて、第2モデルの学習を行う(S110)。
前述したように、イベントとは、プロセスが何らかの客体に対して行った活動である。或るプロセスが他のプロセスを客体として活動する場合、これらのプロセスは互いに同一の OS(Operating System)上で動作するものであってもよいし、互いに異なる OS 上で動作するものであってもよい。後者の例としては、例えば、ソケットインタフェースを利用することで、或るプロセスが他の OS 上で動作する別のプロセスと通信を行うことが考えられる。
第1イベント情報は、標準装置20で発生したイベントに関する情報である。第1イベント情報は、標準装置20で発生した各イベントについて、前述したイベントを識別できる情報(主体情報、客体情報、及び内容情報)を示す。
第2イベント情報は、判定対象装置10で発生したイベントに関する情報である。第2イベント情報の形式には、第1イベント情報の形式と同様のものを採用できる。ただし、第1イベント情報と第2イベント情報は、それぞれイベントの識別ができる情報であればよく、必ずしも同じ形式の情報である必要はない。
取得部2020は第1イベント情報を取得する(S102)。取得部2020が第1イベント情報を取得する方法は様々である。例えば取得部2020は、第1イベント情報が記憶されている記憶装置から、第1イベント情報を取得する。この記憶装置は、情報処理装置2000の外部(例えば標準装置20)に設けられていてもよいし、内部に設けられていてもよい。その他にも例えば、取得部2020は、他の装置(例えば標準装置20)から送信される第1イベント情報を受信してもよい。
取得部2020は第2イベント情報を取得する(S104)。例えば取得部2020は、第2イベント情報が記憶されている記憶装置から、第2イベント情報を取得する。この記憶装置は、情報処理装置2000の外部(例えば判定対象装置10)に設けられていてもよいし、内部に設けられていてもよい。その他にも例えば、取得部2020は、他の装置(例えば判定対象装置10)から送信される第2イベント情報を受信してもよい。
分類部2040は、第1イベント情報を用いて、第2イベント情報に示される各イベントを、第1類と第2類とに分類する(S106)。ここで、第1イベント情報には、標準装置20において発生したイベントの情報が示されている。そこで、分類部2040は、第2イベント情報に示されている各イベントを、第1イベント情報に示されているイベントと比較することで、各イベントが標準装置20で発生したいずれかのイベントと一致しているか否かを判定する。分類部2040は、第2イベント情報に示されるイベントのうち、標準装置20で発生したいずれかのイベントと一致すると判定されたイベントを、第1類に分類する。一方で、分類部2040は、第2イベント情報に示されるイベントのうち、標準装置20で発生したいずれのイベントとも一致しないと判定されたイベントを、第2類に分類する。
判定対象装置10で発生したイベントと標準装置20で発生したイベントとが一致しているか否かを判定する方法について説明する。前述したように、イベントは、主体、客体、及び活動内容という3つの要素で識別できる。そこで分類部2040は、判定対象装置10で発生したイベントと、標準装置20で発生したイベントを、これらの3つの要素について比較することで、イベント同士が一致しているか否かを判定する。分類部2040は、対比する両イベントがこれら3つの要素のいずれについても一致する場合に、これらのイベントが一致すると判定する。一方、対比する両イベントがいずれかの要素において一致しない場合、分類部2040は、これらのイベントが一致しないと判定する。
分類部2040は、第1イベント情報が示すイベントの主体情報と、第2イベント情報が示すイベントの主体情報とを比較する。ここで前述したように、イベントの主体は、イベントを発生させたプロセスのプロセス名、実行ファイルの名称、実行ファイルのパスなどである。これらの情報が一致するか否かは、例えば、文字列の類似度を判定するアルゴリズムを利用して判定することができる。
分類部2040は、第1イベント情報が示すイベントの客体情報と、第2イベント情報が示すイベントの客体情報とを比較する。これらのイベントの客体情報が互いに一致する場合、分類部2040は、これらのイベントの客体が互いに一致すると判定する。一方、これらのイベントの客体情報が互いに一致しない場合、分類部2040は、これらのイベントの客体が互いに一致しないと判定する。ただし、客体情報が実行ファイルのパスを示す場合、前述したように、ファイル名の部分のみを比較してもよい。
分類部2040は、第1イベント情報が示すイベントの内容情報と、第2イベント情報が示すイベントの内容情報とを比較する。これらのイベントの内容情報が互いに一致する場合、分類部2040は、これらのイベントの活動内容が互いに一致すると判定する。一方、これらのイベントの内容情報が互いに一致しない場合、分類部2040は、これらのイベントの活動内容が互いに一致しないと判定する。
第1モデルと第2モデルについて説明する。例えば第1モデルは、1)第1類に分類される各イベントの発生数又は発生頻度に基づくスコア、及び2)第1閾値で構成される。ここで、スコアはイベントごとに定められている。判定対象イベントが警告対象であるか否かの判定は、そのイベントのスコアと第1閾値とを比較することで行われる。判定対象イベントのスコアが第1閾値以下である場合、第1モデルは、そのイベントが警告対象であると判定する。一方、判定対象イベントのスコアが第1閾値より大きい場合、第1モデルは、そのイベントが警告対象でないと判定する。
第1学習部2060は第1モデルの学習を行う(S108)。具体的には、第1学習部2060は、第2イベント情報に示されるイベントのうち、第1類に分類された各イベントについて、第1モデルが示すスコアを増加させる。
第2学習部2080は第2モデルの学習を行う(S110)。具体的には、第2学習部2080は、第2イベント情報に示されるイベントのうち、第2類に分類された各イベントについて、第2モデルにおけるスコアを増加させる。なお、スコアの更新方法については、第1モデルの場合と同様である。
第1モデルと第2モデルはいずれも、判定対象のイベントが警告対象であるか否かを判定するために利用されるという点で共通する。一方で、第1モデルは、第1類に分類されるイベントについての判定に利用され、第2モデルは、第2類に分類されるイベントについての判定に利用されるという点で相違する。
第1モデルにおいて判定の基準となる第1閾値の大きさを、第2モデルにおいて判定の基準となる第2閾値の大きさよりも小さくする。例えば、第1モデルにおける第1閾値が Th1 であり、第2モデルにおける第2閾値が Th2 であるとする。この場合、Th1 < Th2 となるように Th1 と Th2 を定める。こうすると、スコアが Th1 以下であるイベントは、第1類と第2類のどちらに分類されたとしても警告対象となる。一方で、スコアが Th1 より大きく Th2 未満であるイベントは、第1類に分類されれば警告対象とならないが、第2類に分類されれば警告対象となる。このことから、第1類のイベントの方が第2類のイベントよりも警告対象になりにくいといえる。
第1モデルと第2モデルにおける学習の度合いに差をつけることで、第1類のイベントの方が第2類のイベントよりも警告対象となりにくいようにする。具体的には、第1モデルの学習において第1類のイベントのスコアが増加する量を、第2モデルの学習において第2類のイベントのスコアが増加する量よりも大きくする。例えば、第1モデルと第2モデルのそれぞれにおいて、イベントのスコアを以下のように定義する。
第1モデルと第2モデルは、予め生成しておいて記憶装置に記憶させておいてもよいし、情報処理装置2000によって生成されてもよい。後者の場合、例えば第1学習部2060は、第1モデルの学習を実行する際、まだ第1モデルが生成されていなければ(第1モデルが記憶装置に記憶されていなければ)、第1モデルの生成を行う。同様に、例えば第2学習部2080は、第2モデルの学習を実行する際、まだ第2モデルが生成されていなければ(第2モデルが記憶装置に記憶されていなければ)、第2モデルの生成を行う。
実施形態2の情報処理装置2000の機能構成は、実施形態1の情報処理装置2000と同様に、図2によって表される。以下で説明する事項を除き、実施形態2の情報処理装置2000は、実施形態1の情報処理装置2000と同様の機能を有する。
本実施形態の情報処理装置2000によれば、標準装置20で発生したイベントを利用して第1モデルの学習が或る程度行われた状態で、情報処理装置2000の運用が開始される。そのため、第1モデルの学習を予め行っておかない場合と比較し、第1類のイベントについて早期に高い精度で判定が行えるようになる。また、標準装置20で発生したイベントについての情報を、判定対象装置10で発生したイベントの分類だけでなく、第1モデルの学習にも利用できるため、標準装置20をより有効活用することができる。
実施形態2の情報処理装置2000を実現する計算機のハードウエア構成は、実施形態1と同様に、例えば図3によって表される。ただし、本実施形態の情報処理装置2000を実現する計算機1000のストレージデバイス1080には、本実施形態の情報処理装置2000の機能を実現するプログラムモジュールがさらに記憶される。
図6は、実施形態3の情報処理装置2000の機能構成を例示するブロック図である。以下で説明する事項を除き、実施形態3の情報処理装置2000は、実施形態1又は2の情報処理装置2000と同様の機能を有する。
本実施形態の情報処理装置2000によれば、判定対象イベントが標準装置20でも発生したイベントであるか否かを分類し、その分類に応じたモデルを利用して、判定対象イベントが警告対象であるか否かが判定される。そのため、このような分類を考慮しないケースと比較し、判定対象イベントを警告対象とすべきか否かを高い精度で判定することができる。また、判定対象イベントが警告対象であると判定された場合に警告情報が出力されるため、判定対象装置10において異常が発生している可能性があることを、判定対象装置10の管理者等が適切に把握することができる。
実施形態3の情報処理装置2000を実現する計算機のハードウエア構成は、実施形態1と同様に、例えば図3によって表される。ただし、本実施形態の情報処理装置2000を実現する計算機1000のストレージデバイス1080には、本実施形態の情報処理装置2000の機能を実現するプログラムモジュールがさらに記憶される。
図7は、実施形態3の情報処理装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は、第1イベント情報を取得する(S201)。取得部2020は、判定対象イベントについての情報を取得する(S202)。分類部2040は、判定対象イベントが第1類と第2類のいずれに分類されるかを判定する(S204)。判定対象イベントが第1類に分類される場合(S204:第1類)、判定部2120は、第1モデルを用いて、判定対象イベントが警告対象であるか否かを判定する(S206)。判定対象イベントが警告対象である場合(S206:警告対象である)、警告部2140は警告情報を出力する(S208)。判定対象イベントが警告対象でない場合(S206:警告対象でない)、図7の処理は終了する。
警告部2140が出力する警告情報としては、様々なものを採用できる。例えば警告情報は、警告対象のイベントが発生したことを通知する文字列、画像、又は音声などである。なお、警告情報には、警告対象であると判定された判定対象イベントを特定する情報(主体情報、客体情報、及び内容情報)を含めることが好適である。
判定対象イベントは、モデルの学習に利用されるイベントと同じであってもよいし、異なっていてもよい。前者の場合、情報処理装置2000は、第2イベント情報に示されるイベントについて、そのイベントが警告対象であるか否かを判定すると共に、そのイベントを利用したモデルの学習を行う。そのため、判定対象装置10についてモデルの学習を始めた初期の段階では、第2イベント情報に示される多くのイベントが警告対象となりうる。しかしながら、判定対象装置10の運用を継続していくことによってモデルの学習が進み、判定対象装置10において多く発生するイベントについては警告対象にならなくなっていく。一方で、判定対象装置10で発生することが少ないイベントについては、依然として警告対象のままとなる。このように判定対象イベントをモデルの学習のためにも利用することで、判定対象装置10を運用しながらモデルを成熟させていくことができる。
Claims (17)
- 標準装置においてプロセスが発生させたイベントに関する情報を示す第1イベント情報と、判定対象装置においてプロセスが発生させたイベントに関する情報を示す第2イベント情報とを取得する取得部と、
前記第1イベント情報を利用して、前記第2イベント情報に示される各イベントを、標準装置でも発生した第1類のイベントと、前記標準装置では発生しなかった第2類のイベントとに分類する分類部と、
前記第1類に分類されるイベントが警告対象のイベントであるか否かを判定する第1モデルを、前記第1類に分類されたイベントに関する前記第2イベント情報を用いて学習させる第1学習部と、
前記第2類に分類されるイベントが警告対象のイベントであるか否かを判定する第2モデルを、前記第2類に分類されたイベントに関する前記第2イベント情報を用いて学習させる第2学習部と、を有する情報処理装置。 - 警告対象のイベントは、マルウエアが介在するイベントである、請求項1に記載の情報処理装置。
- 前記第1モデルは、
前記第1類に分類される各イベントについて、そのイベントの発生数又は発生頻度に基づくスコアを示しており、
判定対象のイベントのスコアが第1閾値以上である場合に、そのイベントが警告対象であると判定し、
前記第2モデルは、
前記第2類に分類される各イベントについて、そのイベントの発生数又は発生頻度に基づくスコアを示しており、
判定対象のイベントのスコアが第2閾値以上である場合に、そのイベントが警告対象であると判定し、
前記第1学習部は、前記第2イベント情報に示されるイベントのうち、前記第1類に分類されたイベントについて、前記第1モデルにおけるそのイベントのスコアを増加させることで、前記第1モデルの学習を行い、
前記第2学習部は、前記第2イベント情報に示されるイベントのうち、前記第2類に分類されたイベントについて、前記第2モデルにおけるそのイベントのスコアを増加させることで、前記第2モデルの学習を行う、請求項1又は2に記載の情報処理装置。 - 前記第1閾値は前記第2閾値よりも大きい、請求項3に記載の情報処理装置。
- 前記第1学習部が増加させるスコアの大きさは、前記第2学習部が増加させるスコアの増加量よりも大きい、請求項3に記載の情報処理装置。
- 前記第1学習部は、前記標準装置において発生した各イベントに基づいて生成された前記第1モデルを取得し、前記取得した第1モデルの学習を、前記第2イベント情報に基づいて行う、請求項1乃至5いずれか一項に記載の情報処理装置。
- 前記取得部は、判定対象のイベントに関する情報を取得し、
前記分類部は、前記判定対象のイベントが前記第1類と前記第2類のいずれに分類されるかを判定し、
前記判定対象のイベントが前記第1類に分類される場合には、前記第1モデルを用いて、前記判定対象のイベントが警告対象のイベントであるか否かを判定し、前記判定対象のイベントが前記第2類に分類される場合には、前記第2モデルを用いて、前記判定対象のイベントが警告対象のイベントであるか否かを判定する判定部と、
前記判定対象のイベントが警告対象のイベントであると判定された場合に所定の警告情報を出力する警告部と、を有する請求項1乃至6いずれか一項に記載の情報処理装置。 - 前記判定対象のイベントは、前記第2イベント情報に示されているイベントである、請求項7に記載の情報処理装置。
- コンピュータによって実行される制御方法であって、
標準装置においてプロセスが発生させたイベントに関する情報を示す第1イベント情報と、判定対象装置においてプロセスが発生させたイベントに関する情報を示す第2イベント情報とを取得する取得ステップと、
前記第1イベント情報を利用して、前記第2イベント情報に示される各イベントを、標準装置でも発生した第1類のイベントと、前記標準装置では発生しなかった第2類のイベントとに分類する分類ステップと、
前記第1類に分類されるイベントが警告対象のイベントであるか否かを判定する第1モデルを、前記第1類に分類されたイベントに関する前記第2イベント情報を用いて学習させる第1学習ステップと、
前記第2類に分類されるイベントが警告対象のイベントであるか否かを判定する第2モデルを、前記第2類に分類されたイベントに関する前記第2イベント情報を用いて学習させる第2学習ステップと、を有する制御方法。 - 警告対象のイベントは、マルウエアが介在するイベントである、請求項9に記載の制御方法。
- 前記第1モデルは、
前記第1類に分類される各イベントについて、そのイベントの発生数又は発生頻度に基づくスコアを示しており、
判定対象のイベントのスコアが第1閾値以上である場合に、そのイベントが警告対象であると判定し、
前記第2モデルは、
前記第2類に分類される各イベントについて、そのイベントの発生数又は発生頻度に基づくスコアを示しており、
判定対象のイベントのスコアが第2閾値以上である場合に、そのイベントが警告対象であると判定し、
前記第1学習ステップにおいて、前記第2イベント情報に示されるイベントのうち、前記第1類に分類されたイベントについて、前記第1モデルにおけるそのイベントのスコアを増加させることで、前記第1モデルの学習を行い、
前記第2学習ステップにおいて、前記第2イベント情報に示されるイベントのうち、前記第2類に分類されたイベントについて、前記第2モデルにおけるそのイベントのスコアを増加させることで、前記第2モデルの学習を行う、請求項9又は10に記載の制御方法。 - 前記第1閾値は前記第2閾値よりも大きい、請求項11に記載の制御方法。
- 前記第1学習ステップが増加させるスコアの大きさは、前記第2学習ステップが増加させるスコアの増加量よりも大きい、請求項11に記載の制御方法。
- 前記第1イベント情報は、前記標準装置において発生した各イベントに基づいて生成された前記第1モデルであり、
前記第1学習ステップは、前記第1イベント情報として取得された前記第1モデルの学習を、前記第2イベント情報に基づいて行う、請求項9乃至13いずれか一項に記載の制御方法。 - 前記取得ステップにおいて、判定対象のイベントに関する情報を取得し、
前記分類ステップにおいて、前記判定対象のイベントが前記第1類と前記第2類のいずれに分類されるかを判定し、
前記判定対象のイベントが前記第1類に分類される場合には、前記第1モデルを用いて、前記判定対象のイベントが警告対象のイベントであるか否かを判定し、前記判定対象のイベントが前記第2類に分類される場合には、前記第2モデルを用いて、前記判定対象のイベントが警告対象のイベントであるか否かを判定する判定ステップと、
前記判定対象のイベントが警告対象のイベントであると判定された場合に所定の警告情報を出力する警告ステップと、を有する請求項9乃至14いずれか一項に記載の制御方法。 - 前記判定対象のイベントは、前記第2イベント情報に示されているイベントである、請求項15に記載の制御方法。
- 請求項9乃至16いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/007763 WO2019167225A1 (ja) | 2018-03-01 | 2018-03-01 | 情報処理装置、制御方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019167225A1 true JPWO2019167225A1 (ja) | 2021-03-18 |
JP6892005B2 JP6892005B2 (ja) | 2021-06-18 |
Family
ID=67806017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020503209A Active JP6892005B2 (ja) | 2018-03-01 | 2018-03-01 | 情報処理装置、制御方法、及びプログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11899793B2 (ja) |
JP (1) | JP6892005B2 (ja) |
DE (1) | DE112018007202T5 (ja) |
WO (1) | WO2019167225A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6970344B2 (ja) * | 2018-08-03 | 2021-11-24 | 日本電信電話株式会社 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006268775A (ja) * | 2005-03-25 | 2006-10-05 | Ntt Docomo Inc | ソフトウェア動作モデル化装置及びソフトウェア動作監視装置 |
WO2014020908A1 (ja) * | 2012-08-03 | 2014-02-06 | 日本電気株式会社 | システム状態判別支援装置、及び、システム状態判別支援方法 |
JP2015108898A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
WO2016132992A1 (ja) * | 2015-02-20 | 2016-08-25 | 日本電信電話株式会社 | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008129714A (ja) | 2006-11-17 | 2008-06-05 | Univ Of Tsukuba | 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法 |
CN107203450B (zh) * | 2016-03-16 | 2020-06-02 | 伊姆西Ip控股有限责任公司 | 故障的分类方法和设备 |
US10685112B2 (en) * | 2016-05-05 | 2020-06-16 | Cylance Inc. | Machine learning model for malware dynamic analysis |
GB2557253B (en) * | 2016-12-02 | 2020-06-03 | F Secure Corp | Machine learning based malware detection system |
US11138514B2 (en) * | 2017-03-23 | 2021-10-05 | Futurewei Technologies, Inc. | Review machine learning system |
EP4085362A1 (en) * | 2019-12-31 | 2022-11-09 | Motorola Solutions, Inc. | Methods and apparatus for detecting malicious re-training of an anomaly detection system |
-
2018
- 2018-03-01 US US16/976,311 patent/US11899793B2/en active Active
- 2018-03-01 WO PCT/JP2018/007763 patent/WO2019167225A1/ja active Application Filing
- 2018-03-01 DE DE112018007202.9T patent/DE112018007202T5/de active Pending
- 2018-03-01 JP JP2020503209A patent/JP6892005B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006268775A (ja) * | 2005-03-25 | 2006-10-05 | Ntt Docomo Inc | ソフトウェア動作モデル化装置及びソフトウェア動作監視装置 |
WO2014020908A1 (ja) * | 2012-08-03 | 2014-02-06 | 日本電気株式会社 | システム状態判別支援装置、及び、システム状態判別支援方法 |
JP2015108898A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
WO2016132992A1 (ja) * | 2015-02-20 | 2016-08-25 | 日本電信電話株式会社 | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム |
EP3244335A1 (en) * | 2015-02-20 | 2017-11-15 | Nippon Telegraph and Telephone Corporation | Blacklist generation device, blacklist generation system, blacklist generation method, and blacklist generation program |
Also Published As
Publication number | Publication date |
---|---|
DE112018007202T5 (de) | 2021-02-25 |
US11899793B2 (en) | 2024-02-13 |
WO2019167225A1 (ja) | 2019-09-06 |
JP6892005B2 (ja) | 2021-06-18 |
US20210042412A1 (en) | 2021-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6643211B2 (ja) | 異常検知システム及び異常検知方法 | |
US11818155B2 (en) | Cognitive information security using a behavior recognition system | |
US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
RU2625053C1 (ru) | Устранение ложных срабатываний антивирусных записей | |
US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
US8572007B1 (en) | Systems and methods for classifying unknown files/spam based on a user actions, a file's prevalence within a user community, and a predetermined prevalence threshold | |
US11860721B2 (en) | Utilizing automatic labelling, prioritizing, and root cause analysis machine learning models and dependency graphs to determine recommendations for software products | |
US20180341769A1 (en) | Threat detection method and threat detection device | |
JP2020004009A (ja) | 異常検知装置、および、異常検知方法 | |
US11757708B2 (en) | Anomaly detection device, anomaly detection method, and anomaly detection program | |
JP2015108898A (ja) | 異常検知システム及び異常検知方法 | |
CN108156127B (zh) | 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 | |
JP6892005B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
JP6201079B2 (ja) | 監視システムおよび監視方法 | |
JP7031735B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
US20190294523A1 (en) | Anomaly identification system, method, and storage medium | |
LU102633B1 (en) | Ticket troubleshooting support system | |
EP3799367B1 (en) | Generation device, generation method, and generation program | |
US11201874B2 (en) | Information processing apparatus, control method, and program | |
US20220035906A1 (en) | Information processing apparatus, control method, and program | |
US20210397498A1 (en) | Information processing apparatus, control method, and program | |
CN114510409A (zh) | 一种应用程序代码检测方法和计算机可读存储介质 | |
US20220156371A1 (en) | Warning apparatus, control method, and program | |
US20240098108A1 (en) | Evaluating network flow risks | |
US20230418720A1 (en) | System monitoring apparatus, system monitoring method, and computer readable recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200826 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200826 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210427 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210510 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6892005 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |