JPWO2021130838A5 - 情報処理装置、脅威情報評価システム、情報処理方法およびプログラム - Google Patents

Claims (15)

1. 複数の項目からなる学習データであって、第１のレベルと、前記第１のレベルより脅威レベルの高い第２のレベルにレベル付けされた学習データを取得する取得部と、
   前記第１のレベルに属する学習データから特定の文字列の第１の特徴量を検出する第１の特徴量検出部と、
   前記第２のレベルに属する学習データから前記特定の文字列の第２の特徴量を検出する第２の特徴量検出部と、
   前記第１の特徴量と前記第２の特徴量との間に差分を検出する差分検出部と、
   前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する選択部と、を備える情報処理装置。
2. 前記特徴量は、頻度情報である、請求項１に記載の情報処理装置。
3. 前記第１の特徴量と前記第２の特徴量は閾値以上である、請求項１又は２に記載の情報処理装置。
4. 前記学習データが３つ以上のレベルにレベル付けされている場合は、前記差分検出部は、各レベル間の差分を抽出する、請求項１～３のいずれか一項に記載の情報処理装置。
5. 前記取得部は、組織毎に区分された学習データを取得する、請求項１～４のいずれか一項に記載の情報処理装置。
6. 前記取得部は、定期的にアナリストにより脅威レベル付けされた学習データを取得する、請求項１～５のいずれか一項に記載の情報処理装置。
7. 前記第１の特徴量検出部は、前記第１のレベルに属し、特定の項目に属する学習データから特定の文字列の第１の特徴量を検出し、
   前記第１の特徴量検出部は、前記第２のレベルに属し、前記特定の項目に属する学習データから前記特定の文字列の第１の特徴量を検出する、請求項１～６のいずれか一項に記載の情報処理装置。
8. 前記取得部は、複数の項目のうちの所定の項目の組合せを含む前記学習データを取得する、請求項１～７のいずれか一項に記載の情報処理装置。
9. 前記学習データは、通信ログデータおよび該通信ログデータに付随するパケットを含む、請求項１～８のいずれか一項に記載の情報処理装置。
10. 前記選択された項目の学習データを用いて、機械学習を行う学習部を更に備える、請求項１～９のいずれか一項に記載の情報処理装置。
11. 前記学習部により生成された学習モデルに基づいて、脅威情報の脅威レベル付けを行う予測部を更に備える、請求項１０に記載の情報処理装置。
12. 前記脅威情報が、業務通信か攻撃通信かを判別する判別部を更に備え、
    前記予測部は、前記判別部が攻撃通信と判別した脅威情報に対して脅威レベル付けを行う、請求項１１に記載の情報処理装置。
13. 外部から脅威情報を収集するデータ収集サーバと、
    収集された前記脅威情報に、アナリストが脅威レベル付けを行うためのコンピュータと、
    請求項１～１２のいずれか一項に記載の情報処理装置と、
    を備える、脅威情報評価システム。
14. 複数の項目からなる学習データであって、第１のレベルと、前記第１のレベルより脅威レベルの高い第２のレベルにレベル付けされた学習データを取得し、
    前記第１のレベルに属する学習データから特定の文字列の第１の特徴量を検出し、
    前記第２のレベルに属する学習データから前記特定の文字列の第２の特徴量を検出し、
    前記第１の特徴量と前記第２の特徴量との間に差分を検出し、
    前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する、情報処理方法。
15. 複数の項目からなる学習データであって、第１のレベルと、前記第１のレベルより脅威レベルの高い第２のレベルにレベル付けされた学習データを取得する処理と、
    前記第１のレベルに属する学習データから特定の文字列の第１の特徴量を検出する処理と、
    前記第２のレベルに属する学習データから前記特定の文字列の第２の特徴量を検出し、
    前記第１の特徴量と前記第２の特徴量との間に差分を検出する処理と、
    前記差分が閾値以上ある場合は、前記特定の文字列が属する項目の学習データを選択する処理と、をコンピュータに実行させるプログラム。