WO2016208159A1

WO2016208159A1 - 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体

Info

Publication number: WO2016208159A1
Application number: PCT/JP2016/002898
Authority: WO
Inventors: 池田　聡
Original assignee: 日本電気株式会社
Priority date: 2015-06-26
Filing date: 2016-06-15
Publication date: 2016-12-29
Also published as: JPWO2016208159A1; JP6753398B2; US11057399B2; US20180181883A1

Abstract

オペレータに適切に提示することができるアラート情報を作成するため、本発明の情報処理装置は、既に受信した第１のアラート情報と、新たに受信した第２のアラート情報と非類似度を算出する非類似度算出手段と、第１のアラート情報に機械学習を適用し、分類結果を判定する分類器を生成する機械学習手段と、第２のアラート情報に分類器を適用して分類結果を判定し、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値未満の場合に、第２のアラート情報の分類結果に判定の結果を設定し、第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定し、判定結果が正しい検知を示す正検知の場合、又は、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値以上の場合に、第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する判定手段とを含む。

Description

情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体

　本発明は、情報の通信に関し、特に、通信を監視する情報処理装置、情報処理システム、情報処理方法、及び記憶媒体に関する。

　情報を通信しているネットワークを監視する装置は、監視対象のネットワークに対する攻撃又は不正侵入を防ぐことを目的として、ファイアウォール又はＩＤＳ（Intrusion Detection System）などを用いて、通信を監視し、必要に応じて通信を遮断する。近年、知的財産又は機密情報の窃取を目的とした標的型攻撃が、増加している。そのため、ネットワークに対するサイバーセキュリティ（cybersecurity）の需要が、高まっている。サイバーセキュリティを実現する技術としては、ＳＯＣ（Security Operation Center）を用いて、ネットワークの監視及びインシデント（incident）に対応する技術が、一般的になっている。

　ネットワークを監視する装置は、ファイアウォール又はＩＤＳなどの機能を実現する監視機器が検知したアラート（alert）を、危険度に基づいて、分類する（例えば、非特許文献１を参照）。なお、アラートとは、注意を促すメッセージである。例えば、アラートは、ネットワークにおける異常を検知したことを通知するメッセージである。

　ただし、監視機器が検知を基に作成するアラートには、インシデントとして報告する必要がないアラートが含まれている。例えば、監視機器が検知したアラートには、危険性が低いアラート、又は、誤検知であるアラートが、含まれる。

　そのため、ネットワークの監視業務を行う操作者（オペレータ：operator）は、下記のような情報、つまり、検知されたアラートに含まれる情報、又は、外部情報を参照して、アラートを分類し、アラートに危険度を設定する。そして、ネットワークを監視する装置は、オペレータが設定した危険度を基に、必要に応じて、インシデントに対応したアラートとして、検知したアラートを報告する。

　なお、上記の分類において参照する情報として、例えば、アラートを検知した検知ルール、送信元ホストのＩＰ（Internet Protocol）アドレス及びポート番号、並びに、送信先ホストのＩＰアドレス及びポート番号がある。あるいは、上記の分類において参照する情報として、例えば、セキュリティベンダーがアラートを検知するために用いた検知ルールに割り当てた重要度、及び、検知の原因となった通信（例えば、パケット）に含まれる通信情報がある。

　非特許文献１に記載のシステムは、アラートを分類する。より詳細には、非特許文献１に記載のシステムは、分類に、アラート情報及びアラート情報から得られる集約情報を利用した機械学習を利用する。非特許文献１に記載のシステムは、エージェントモードにおいて、機械学習に基づく分類結果の信頼度が高いアラートを、オペレータに提示せず、処理する。非特許文献１に記載のシステムは、このような動作を基に、オペレータの処理の効率化を図っている。

　ただし、非特許文献１に記載のシステムには、正検知であるアラートを誤検知のアラートと判定する誤陰性のリスクがある。そこで、非特許文献１に記載のシステムは、機械学習を用いた分類結果に基づいてオペレータへの提示が不要と判定したアラートの中から、ランダムに、一部のアラートを抽出し、オペレータに提示をする。このような動作を基に、非特許文献１に記載のシステムは、分類における誤陰性を抑制している。

Tadeusz Pietraszek, "Using Adaptive Alert Classification to Reduce False Positives in Intrusion Detection", Recent Advances in Intrusion Detection (Subtitle: 7th international Symposium, RAID 2004, Sophia Antipolis, France, September 15-17, 2004), pp. 102-124, 2004

　機械学習に用いられた学習サンプルに含まれるアラート（以下、このようなアラートを、単に「学習アラート」と呼ぶ）との類似性が高いアラートは、学習アラートが持つ特徴と、同様の特徴を持つ可能性が高い。つまり、学習アラートとの類似性が高いアラートにおいて、誤陰性が発生する可能性は、低い。

　反対に、学習アラートとの類似性が低いアラートは、学習アラートとは異なる特徴を持つ可能性が高い。そのため、学習アラートとの類似性が高いアラートと比較すると、学習アラートとの類似性が低いアラートにおいて、誤陰性が発生する可能性が、高くなる。

　そのため、オペレータに提示されるアラートは、学習アラートとの類似性が低いアラートであることが望ましい。

　しかしながら、上記の非特許文献１に記載の技術におけるアラートの抽出は、ランダムな抽出である。ランダムな抽出は、機械学習と関連しない抽出である。非特許文献１に記載の技術は、オペレータに提示するアラートとして、学習アラートとの類似性を考慮しないで、アラートを抽出する。つまり、非特許文献１に記載のシステムは、オペレータに提示するアラートとして、適切ではないアラートを提示してしまう場合があった。

　このように、非特許文献１に記載の技術は、オペレータに、適切なアラートを提示できないという問題点があった。

　本発明の目的は、上記問題点を解決し、オペレータに適切に提示することができるアラート情報を作成する情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体を提供することにある。

　本発明の一形態における情報処理装置は、既に受信した第１のアラートと第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出する非類似度算出手段と、第１のアラート情報に機械学習を適用し、第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成し、第２のアラート情報に分類器を適用して分類結果を判定する機械学習手段と、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値未満の場合に、第２のアラート情報の分類結果に判定の結果を設定し、第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定し、判定結果が正しい検知を示す正検知の場合、又は、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値以上の場合に、第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する判定手段とを含む。

　本発明の一形態における情報処理システムは、上記の情報処理装置と、情報処理装置から第１のアラート情報を受信し、分類結果と表示するアラート表示手段と、表示されたアラート情報における分類結果に対する入力を受信し、情報処理装置に送信する入力手段とを含む提示装置とを含む
　本発明の一形態におけるデータ処理方法は、既に受信した第１のアラートと第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出し、第１のアラート情報に機械学習を適用し、第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成し、第２のアラート情報に分類器を適用して分類結果を判定し、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値未満の場合に、第２のアラート情報の分類結果に判定の結果を設定し、第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定し、判定結果が正しい検知を示す正検知の場合、又は、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値以上の場合に、第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する。

　本発明の一形態における記憶媒体は、既に受信した第１のアラートと第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出する処理と、第１のアラート情報に機械学習を適用し、第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成する処理と、第２のアラート情報に分類器を適用して分類結果を判定する処理、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値未満の場合に、第２のアラート情報の分類結果に判定の結果を設定し、第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定する処理と、判定結果が正しい検知を示す正検知の場合、又は、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値以上の場合に、第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する処理とをコンピュータに実行させるプログラムを記憶する。

　本発明に基づけば、オペレータに適切に提示することができるアラート情報を作成するとの効果を奏することができる。

図１は、本発明における第１の実施形態に係る情報処理装置を含む情報処理システムの構成の一例を示すブロック図である。図２は、第１の実施形態に係る情報処理装置の構成の一例を示すブロック図である。図３は、第１の実施形態に係る提示装置の構成の一例を示すブロック図である。図４は、第１の実施形態に係る機械学習部における機械学習の動作の一例を示すフローチャートである。図５は、第１の実施形態に係る非類似度算出部における非類似度算出の動作の一例を示すフローチャートである。図６は、第１の実施形態に係る判定部におけるアラート情報を更新する動作の一例を示すフローチャートである。図７は、第１の実施形態に係る情報処理システムにおけるアラート情報に分類結果を設定する動作の一例を示すシーケンス図である。図８は、第１の実施形態の説明に用いるアラート情報の一例を示す図である。図９は、第２の実施形態に係る情報処理装置を含む情報処理システムの構成の一例を示すブロック図である。図１０は、第２の実施形態に係る情報処理装置の構成の一例を示すブロック図である。図１１は、第２の実施形態に係る再判定部の動作の一例を示すフローチャートである。図１２は、第３の実施形態に係る情報処理装置を含む情報処理システムの構成の一例を示すブロック図である。図１３は、第３の実施形態に係る情報処理装置の構成の一例を示すブロック図である。図１４は、第３の実施形態に係る非類似度算出部の動作に一例を示すフローチャートである。図１５は、変形例に係る情報処理装置の構成の一例を示すブロック図である。図１６は、変形例に係る情報処理装置の構成の一例を示すブロック図である。

　次に、本発明の実施の形態について図面を参照して詳細に説明する。

　各図面は、本発明の実施形態を説明するものである。ただし、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。

　また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。

　各実施形態の説明の前に、以下の説明に用いるアラート情報について説明する。

　「アラート情報」とは、アラート（アラートには、アラートの原因となった通信に関する情報が含まれる）と、アラートに関連する情報（例えば、アラートの判定の結果）とを含む情報である。

　図８は、以下の説明の用いるアラート情報５００の一例を示す図である。図８において、各行が、各アラート情報５００を示している。

　図８に示すように、アラート情報５００は、検知時刻５０１と、送信元ＩＰ（Internet Protocol）アドレス５０２と、送信先ＩＰアドレス５０３と、検知ルール識別子５０４と、提示フラグ５０５と、分類結果５０６と、通信情報５０７とを含む。

　アラート情報５００において、検知時刻５０１と、送信元ＩＰアドレス５０２と、送信先ＩＰアドレス５０３と、検知ルール識別子５０４と、通信情報５０７が、アラートの原因となった通信に関する情報である。つまり、監視対象のネットワークを監視する監視装置は、アラートとして、これらの情報を、各実施形態に係る情報処理装置に送信する。

　なお、情報処理装置に送信されるアラートが含む情報は、これらに限る必要はない。アラートは、他の情報を含んでもよい。例えば、アラートは、送信元及び送信先のポート番号を含んでもよい。また、アラートは、上記情報の一部を含まなくてもよい。

　また、提示フラグ５０５と分類結果５０６とが、アラートに関連する情報である。

　続いて、図８に示されているアラート情報５００に含まれる各情報を説明する。

　検知時刻５０１は、監視装置がアラートを検知した時刻である。

　送信元ＩＰアドレス５０２は、アラートの原因となった通信における送信元の装置（例えば、送信元ホスト）のアドレスである。

　送信先ＩＰアドレス５０３は、アラートの原因となった通信における送信先の装置（例えば、送信先ホスト）のアドレスである。

　検知ルール識別子５０４は、監視装置がアラートを検知するときに用いたルールを識別する識別子である。

　通信情報５０７は、アラートの原因となった通信において、通信された情報である。通信情報５０７は、例えば、通信に用いられるパケットのペイロードとして含まれるバイト列、又は、ＨＴＴＰ（Hyper Text Transfer Protocol）要求、若しくは、ＨＴＴＰ応答に含まれる文字列である。

　提示フラグ５０５は、提示装置において、そのアラート情報５００を、オペレータに提示する必要があるか否かを表す情報である。後ほど説明するように、各実施形態に係る情報処理装置の機械学習部が、提示フラグ５０５の値を設定する。なお、提示フラグ５０５の値は、特に制限はない。そのため、以下の説明では、提示フラグ５０５における「１」の値が、オペレータに提示する必要があることを示し、提示フラグ５０５における「０」の値が、オペレータに提示する必要がないことを示すとする。つまり、各情報処理装置の機械学習部は、オペレータを提示する必要がある場合、提示フラグ５０５に「１（必要）」を設定し、オペレータを提示する必要がない場合、提示フラグ５０５に「０（不要）」を設定する。提示フラグ５０５の初期値は、「１（必要）」とする。

　分類結果５０６は、アラートの検知を分類した情報である。つまり、分類結果５０６は、アラート情報５００が正しく検知されたか、誤って検知されたかを示す情報である。さらに、分類結果５０６は、分類を実行した主体を示す情報を含んでもよい。例えば、以下で説明する情報処理装置が分類した結果には、そのことを示す情報（以下、「／自動」とする）を含んでもよい。

　そのため、以下の説明では、分類結果５０６には、「正検知」、「誤検知」、「誤検知／自動」、又は、「空欄（未入力又は未設定を示す）」を示す値のいずれかの値が設定されるとする。分類結果５０６は、上記の値を数値として保持してもよく、数値以外の値（例えば、文字列）として保持してもよい。分類結果５０６の初期値は、「空欄」である。

　ただし、各実施形態に係る情報処理装置は、「正検知」について、他者の判定を不要とする処理を含んでもよい。その場合、分類結果５０６は、「正検知／自動」に対応する情報を含む。

　なお、アラート情報５００が含む情報は、上記の情報に限る必要はない。アラート情報５００は、他の情報を含んでもよい。あるいは、アラート情報５００は、以下で説明する動作を実現できる限り、一部の情報を含まなくてもよい。

　＜第１の実施形態＞
　まず、本発明における第１の実施形態に構成について説明する。

　［構成の説明］
　図１は、本発明における第１の実施形態に係る情報処理装置２０を含む情報処理システム１０の構成の一例を示すブロック図である。

　図１に示すように、情報処理システム１０は、情報処理装置２０と、提示装置３０と、ネットワーク４０と、監視装置５０とを含む。

　ネットワーク４０は、本実施形態における、つまり、情報処理システム１０における監視対象である。本実施形態に係るネットワーク４０は、特に制限はない。例えば、ネットワーク４０は、所定の範囲内での使用に限られた社内ネットワークでもよい。あるいは、ネットワーク４０は、物理的なネットワークに限らず、ＶＬＡＮ（Virtual Local Area Network）のような、論理的なネットワークでもよい。そのため、ネットワーク４０の詳細な説明を省略する。

　監視装置５０は、ネットワーク４０における通信情報５０７を監視する。また、監視装置５０は、所定の検知ルールに基づいて、ネットワーク４０で発生した通信の異常を検知する。ここで、ネットワーク４０で発生した通信の異常とは、例えば、ネットワーク４０に対する外部からの攻撃又はネットワーク４０の動作を原因として発生した異常である。そして、監視装置５０は、検知結果（検知した異常）を、アラートとして、情報処理装置２０に通知する。本実施形態に係る監視装置５０は、特に制限はなく、一般的に用いられるネットワーク４０を監視する装置である。そのため、監視装置５０の詳細な説明を省略する。

　提示装置３０は、情報処理システム１０のオペレータに対して、情報処理装置２０が解析した情報（例えば、アラート情報５００）を提示する。また、提示装置３０は、オペレータからの指示を情報処理装置２０に送信する。ここで、指示とは、例えば、アラート情報５００の判定結果（例えば、分類結果５０６に設定する値）である。

　図３は、第１の実施形態に係る提示装置３０の構成の一例を示すブロック図である。

　図３に示すように、提示装置３０は、アラート表示部３１と、入力部３２とを含む。

　アラート表示部３１は、情報処理装置２０から、情報処理装置２０が保存している情報（例えば、アラート情報５００）を受信する。そして、アラート表示部３１は、受信した情報（例えば、アラート情報５００）を表示する。

　なお、アラート表示部３１が表示する情報は、オペレータが、入力部３２に指示を入力するための情報となる。そのため、アラート表示部３１は、情報処理装置２０から受信した情報に加え、別の情報を表示してもよい。あるいは、アラート表示部３１は、オペレータの判定に不要な情報を表示しなくてもよい。さらに、アラート表示部３１は、情報処理装置２０から受信した情報に含まれる情報（例えば、提示フラグ５０５、分類結果５０６、又は、検知時刻５０１）を基に、表示する情報を選択して、表示してもよい。

　入力部３２は、オペレータからの入力（指示）を受信し、情報処理装置２０に送信する。ここで、オペレータの入力とは、アラート情報５００に含まれる情報（例えば、分類結果５０６）の変更を指示する情報である。例えば、入力部３２は、アラート表示部３１が、表示したアラート情報５００に対する、オペレータの判定結果である分類結果５０６の入力（正検知又は誤検知）を受信する。

　そして、入力部３２は、受信したオペレータの入力（指示）を、情報処理装置２０に送信する。

　なお、後ほど詳細に説明するように、情報処理装置２０は、提示装置３０から受信した情報（指示）を、アラート情報５００に保存する。例えば、情報処理装置２０が、提示装置３０から分類結果５０６を受信した場合、情報処理装置２０は、後ほど説明するアラート情報記憶部２３の分類結果５０６に、受信した分類結果５０６の値を保存する。

　次に、第１の実施形態に係る情報処理装置２０について、図面を参照して説明する。

　図２は、第１の実施形態に係る情報処理装置２０の構成の一例を示すブロック図である。

　図２に示すように、情報処理装置２０は、機械学習部２１と、非類似度算出部２２と、アラート情報記憶部２３と、判定部２６とを含む。

　判定部２６は、監視装置５０が検知したアラートを受信し、受信したアラート及びそのアラートに関連する情報（つまり、「アラート情報５００」）をアラート情報記憶部２３に保存する。以下、新たに監視装置５０から受信したアラート（最新のアラート）に対応するアラート情報５００を他のアラート情報５００から区別する場合、「アラート情報（Ａ）」とする。以下、アラート情報（Ａ）を除いたアラート情報５００を、第１のアラート情報と呼ぶ場合がある。また、アラート情報（Ａ）を第２のアラート情報と呼ぶ場合がある。なお、判定部２６は、新たなアラートを受信した場合、必要に応じて、各構成にアラートを受信したことを通知する。

　さらに、判定部２６は、後ほど説明する機械学習部２１における判定結果と非類似度算出部２２が算出する非類似度とを基に、アラート情報５００の値を更新する。

　また、判定部２６は、上記の提示装置３０から依頼を受信し、依頼に対応した情報を提示装置３０に送信する。また、判定部２６は、提示装置３０から情報を受信し、受信した情報をアラート情報記憶部２３に保存する。

　機械学習部２１は、アラート情報５００の分類結果５０６についての機械学習を実行する。より詳細には、機械学習部２１は、機械学習の学習サンプルとして、アラート情報記憶部２３に保存されているアラート情報５００の中において分類結果５０６が空欄（未入力又は未設定）でないアラート情報５００を用いて、機械学習を実行する。つまり、機械学習部２１は、設定済みの分類結果５０６を用いて、分類結果５０６の機械学習を実行する。さらに、分類結果５０６が、自装置で実施した分類示す情報（「／自動」）を保存している場合、機械学習部２１は、自装置で分類した分類結果５０６を学習サンプルから除外してもよい。そして、機械学習部２１は、機械学習を基に、アラート情報５００が正検知であるか誤検知であるかを判定する。

　既に説明しているが、判定部２６は、機械学習部２１の判定の結果を、アラート情報記憶部２３に保存されているアラート情報５００の分類結果５０６に保存する。分類結果５０６が、自装置で実施した分類であることを示す情報（「／自動」）を保存する場合、判定部２６は、判定結果に自装置で分類したことを示す情報（「／自動」）を含めて、分類結果５０６を保存する。なお、既に説明したとおり、本実施形態の情報処理装置２０は、誤検知に関して、自装置で設定したことを示す分類結果５０６（つまり、「誤検知／自動」）を保存する。

　非類似度算出部２２は、情報処理装置２０が新たに受信したアラート情報（Ａ）と、アラート情報記憶部２３に保存されている一部又は全てのアラート情報５００との非類似度を算出する。非類似度算出部２２における非類似度の算出については、後ほど詳細に説明する。

　アラート情報記憶部２３は、アラート情報５００を記憶する。

　［動作の説明］
　次に、本実施形態に係る情報処理装置２０の動作について、図面を参照して詳細に説明する。

　まず、情報処理装置２０における機械学習の動作について、図面を参照して説明する。

　図４は、第１の実施形態に係る機械学習部２１における機械学習の動作の一例を示すフローチャートである。

　機械学習部２１は、まず、アラート情報記憶部２３に保存されているアラート情報５００の中から、学習サンプルとして用いるアラート情報５００を抽出する（ステップＳ１０１）。既に説明した通り、学習サンプルとして用いるアラート情報５００は、情報処理装置２０以外に基づいて分類結果５０６が設定されているアラート情報５００であることが望ましい。例えば、情報処理装置２０は、オペレータから分類結果５０６を受信して設定したアラート情報５００を学習サンプルとして用いる。そのため、本実施形態の説明における学習サンプルは、分類結果５０６が「正検知」又は「誤検知」となっているアラート情報５００となる。

　次に、機械学習部２１は、学習サンプルを基に、特徴ベクトルを算出する（ステップＳ１０２）。ここで、「特徴ベクトル」とは、非類似度を比較するための情報を要素とするベクトルである。また、特徴ベクトルは、通常は、学習サンプルから算出される多次元ベクトルである。特徴ベクトルは、１つの学習サンプルに対して１つ算出される。

　特徴ベクトルの算出方法として、多くの方法が提案されている。機械学習部２１は、本実施形態で用いる特徴ベクトルの算出方法として、一般的な特徴ベクトルの算出方法を用いればよい。例えば、機械学習部２１は、非特許文献１に記載されている、アラート情報５００に含まれる、ＩＰアドレスの区分、ホストの区分、検知ルール識別子、又は、一定時間幅における同一区分に属するアラート数を用いて算出される特徴ベクトルを用いてもよい。あるいは、機械学習部２１は、アラート情報５００に含まれる通信情報５０７をベクトル形式に変換して、特徴ベクトルとして用いてもよい。なお、機械学習部２１は、通信情報５０７をベクトル形式に変換するために、例えば、Ｎグラムの出現頻度を計数すればよい。

　ただし、上記の特徴ベクトルは、機械学習部２１が用いることができる特徴ベクトルの一例である。上記の説明は、本実施形態に係る機械学習部２１の利用可能な特徴ベクトルを、上記の特徴ベクトルに限定するものではない。機械学習部２１は、特徴ベクトルとして、アラート情報５００に含まれる情報を、機械的な算出処理に適用して得られる値を用いることができる。また、機械学習部２１は、上記の特徴ベクトルを組み合わせてもよい。

　機械学習部２１は、学習サンプルの分類結果５０６を教師信号として、機械学習を実行する。そして、機械学習部２１は、機械学習の結果として分類器を作成又は更新する（ステップＳ１０３）。機械学習部２１は、ここでの機械学習として、一般的な機械学習アルゴリズムを用いることができる。例えば、機械学習部２１は、決定木学習、サポートベクタマシーン、又は、アンサンブル学習を用いてもよい。

　機械学習部２１が作成した分類器は、特徴ベクトルを用いて、特徴ベクトルに対応するアラート情報５００が正検知であるか誤検知であるかを判定する。

　なお、機械学習部２１は、用いている学習アルゴリズムが許容している場合、一括学習又は逐次学習のどちらを用いてもよい。

　一括学習を採用する場合は、機械学習部２１は、所定のタイミング又は所定の時間間隔で、上記の機械学習の処理を実行し、分類器を作成又は更新する。

　逐次学習を採用する場合は、機械学習部２１は、アラート情報記憶部２３が記憶しているアラート情報５００の分類結果５０６が変更されたタイミングで、分類器を作成又は更新する。

　次に、情報処理装置２０における非類似度を算出する動作について、図面を参照して説明する。

　図５は、第１の実施形態に係る非類似度算出部２２における非類似度算出の動作の一例を示すフローチャートである。

　非類似度算出部２２は、新たなアラートに対するアラート情報（Ａ）を受信したタイミングで、動作を開始する（ステップＳ２０１）。具体的には、判定部２６が、監視装置５０からアラートを受信し、必要な情報を追加してアラート情報５００（アラート情報（Ａ））を生成し、アラート情報５００としてアラート情報記憶部２３に保存する。そして、判定部２６は、非類似度算出部２２に、新たなアラートを受信したことを通知する。非類似度算出部２２は、この通知に基づいて、アラート情報記憶部２３に保存されているアラート情報（Ａ）を取得する。

　続いて、非類似度算出部２２は、アラート情報記憶部２３から、アラート情報（Ａ）以外の他のアラート情報５００、つまり、比較対象となるアラート情報５００を取得する（ステップＳ２０２）。なお、アラート情報（Ａ）を除いたアラート情報５００は、アラート情報（Ａ）に対して、過去のアラート情報５００である。つまり、比較対象となるアラート情報５００は、過去（保存済み）のアラート情報５００である。

　なお、非類似度算出部２２は、アラート情報記憶部２３に保存されている全てのアラート情報５００を取得してもよい。あるいは、非類似度算出部２２は、アラート情報記憶部２３に保存されているアラート情報５００の一部を取得してもよい。例えば、非類似度算出部２２は、アラート情報（Ａ）の検知に用いられて検知ルールと同じ検知ルールを用いて検知されたアラート情報５００を取得してもよい。具体的には、非類似度算出部２２は、アラート情報（Ａ）の検知ルール識別子５０４と同じ値の検知ルール識別子５０４を含むアラート情報５００を取得してもよい。あるいは、非類似度算出部２２は、アラート情報５００に含まれる分類結果５０６が所定の値（例えば、「正検知」、又は、「誤検知」）であるアラート情報５００を取得してもよい。

　次に、非類似度算出部２２は、アラート情報（Ａ）と、抽出された過去の各アラート情報５００との非類似度を算出する（ステップＳ２０３）。

　ここで、「非類似度」とは、アラート情報（Ａ）と抽出された各アラート情報５００とにおける離れている程度である。より具体的には、「非類似度」とは、アラート情報（Ａ）と抽出された各アラート情報５００との距離に相当する値である。距離が大きい場合、非類似度は大きくなる。

　非類似度算出部２２は、非類似度として、いろいろな距離を用いることができる。非類似度算出部２２は、例えば、上記の機械学習部２１が用いたアラート情報５００を基に算出された特徴ベクトル間の距離を用いてもよい。あるいは、非類似度算出部２２は、非類似度として、各アラート情報５００に含まれる通信情報５０７間の編集距離を用いてもよい。ただし、上記の非類似度は、本実施形態に係る非類似度の一例である。本実施形態に係る非類似度は、上記に限定されない。

　各アラート情報５００との非類似度の算出後、非類似度算出部２２は、算出した非類似度の中において、小さい方から並べた場合に所定の順番（Ｋ）となっている非類似度を選択する。そして、非類似度算出部２２は、選択した非類似度を、アラート情報（Ａ）と過去のアラート情報５００との非類似度とする（ステップＳ２０４）。つまり、非類似度算出部２２は、新たに受信したアラートに対応するアラート情報（Ａ）の非類似度として、算出した非類似度の中において、小さい方から所定の順番（Ｋ）となっている非類似度を採用する。つまり、アラート情報（Ａ）の非類似度は、アラート情報（Ａ）のＫ近傍に相当する過去のアラート情報５００との非類似度である。なお、所定の順番（Ｋ）は、予め、非類似度算出部２２に設定された値である。

　次に、情報処理装置２０におけるアラート情報５００を解析する動作ついて、図面を参照して説明する。

　図６は、本実施形態に係る判定部２６おけるアラート情報５００を更新する動作の一例を示すフローチャートである。

　判定部２６は、新たにアラートを受信すると、以下の動作を開始する（ステップＳ３０１）。なお、判定部２６は、アラートを受信すると、そのアラートに対応するアラート情報５００（今の場合、アラート情報（Ａ））を作成し、作成したアラート情報５００をアラート情報記憶部２３に保存する。そして、判定部２６は、以下の動作を、保存したアラート情報５００に対して実行する。つまり、判定部２６は、以下で説明する動作を、上記のアラート情報（Ａ）に対して実行することになる。そのため、以下、アラート情報（Ａ）を用いて説明する。

　判定部２６は、まず、図４に用いて説明した機械学習部２１が作成した分類器を用いて、アラート情報（Ａ）を判定する（ステップＳ３０２）。より詳細には、判定部２６は、分類器を用いて、以下のように判定する。

　まず、判定部２６は、アラート情報（Ａ）を基に、特徴ベクトルを算出する。この動作は、図４に示すステップＳ１０２と同様の動作である。そのため、判定部２６は、機械学習部２１に、特徴ベクトルの算出を依頼してもよい。次に、判定部２６は、算出した特徴ベクトルを、分類器に入力する。そして、判定部２６は、分類器の出力として、アラート情報（Ａ）の判定結果（正検知、又は、誤検知）を取得する。なお、判定部２６は、特徴ベクトルの算出に加え、分類器を用いた特徴ベクトルの判定の処理まで、機械学習部２１に依頼してもよい。つまり、情報処理装置２０において、機械学習部２１が、ステップＳ３０２を実行してもよい。

　そして、判定部２６は、分類器の判定結果が正検知であるか否かを判定する（ステップＳ３０３）。

　分類器の判定の結果が、正検知の場合（ステップＳ３０３でＹＥＳ）、分類器の判定は、オペレータの判定が必要である。そのため、判定部２６は、アラート情報（Ａ）の提示フラグ５０５に、「１（必要）」を設定する（ステップＳ３０６）。

　誤検知と判定された場合（ステップＳ３０３でＮＯ）、判定部２６は、図５を参照して説明した、非類似度算出部２２が算出したアラート情報（Ａ）に対する非類似度を取得する（ステップＳ３０４）。

　そして、判定部２６は、非類似度が所定の閾値以上か否かを判定する（ステップＳ３０５）。なお、ここで用いる閾値は、予め、判定部２６に設定されている値である。

　非類似度が、所定の閾値以上の場合（Ｓ３０５でＹＥＳ）、分類器の判定は、オペレータの判定が必要である。そのため、判定部２６は、提示フラグ５０５に、「１（必要）」を設定する（ステップＳ３０６）。

　非類似度が、所定の閾値未満の場合（ステップＳ３０５でＮＯ）、分類器の判定は、オペレータの判定が不要である。そのため、判定部２６は、提示フラグ５０５に、「０（不要）」を設定する（ステップＳ３０７）。さらに、判定部２６は、自装置で（機械的に）誤検知と判定したことを示すため、分類結果５０６を「誤検知／自動」に設定する（ステップＳ３０８）。

　次に、情報処理装置２０を含む情報処理システム１０のおける、アラート情報５００を分類する動作について図面を参照して説明する。

　図７は、本実施形態に係る情報処理システム１０おけるアラート情報５００に分類結果５０６を保存する動作の一例を示すシーケンス図である。

　提示装置３０のアラート表示部３１は、情報処理装置２０に、アラート情報５００の送信を依頼する（Ｓ４０１）。

　情報処理装置２０の判定部２６は、アラート表示部３１からの依頼を基に、アラート情報記憶部２３に保存されているアラート情報５００を提示装置３０に送信する（Ｓ４０２）。

　提示装置３０のアラート表示部３１は、受信したアラート情報５００を提示する（Ｓ４０３）。アラート表示部３１は、受信した全てのアラート情報５００を表示してもよい。ただし、表示を明確にするため、アラート表示部３１は、表示するアラート情報５００として、提示フラグ５０５が「１（必要）」であるアラート情報５００を選択して、表示することが望ましい。さらに、アラート表示部３１は、オペレータの判断を設定していないアラート情報５００、具体的には、分類結果５０６が「空欄」となっているアラート情報５００を選択して、表示することが望ましい。例えば、図８に示されているアラート情報５００の場合、アラート表示部３１は、６行目のアラート情報５００を表示することが望ましい。

　このように、提示装置３０は、情報処理装置２０が作成したアラート情報５００を基に、オペレータに適切なアラート情報５００を表示することができる。

　なお、情報処理装置２０の機械学習部２１が、上記条件を満足するアラート情報５００を送信してもよい。

　アラート情報５００の表示後、提示装置３０の入力部３２は、オペレータのから、表示されているアラート情報５００に対する指示（正検知又は誤検知）を受け取る（Ｓ４０４）。

　そして、入力部３２は、受信した指示（正検知又は誤検知）を情報処理装置２０に送付する（Ｓ４０５）。

　情報処理装置２０の判定部２６は、受信した指示をアラート情報記憶部２３に保存されているアラート情報５００に設定（保存）する（Ｓ４０６）。

　［効果の説明］
　次に、本実施形態の効果について説明する。

　第１の実施形態に係る情報処理装置２０は、オペレータに適切に提示することができるアラート情報５００を作成するとの効果を奏することができる。

　その理由は、次のとおりである。

　本実施形態に係る情報処理装置２０の機械学習部２１は、機械学習に基づいて、アラート情報５００の分類するために用いる分類器を生成する。また、非類似度算出部２２は、受信したアラート情報（Ａ）と過去のアラート情報５００との非類似度を算出する。そして、判定部２６は、分類器の基づく分類結果５０６及び非類似度に基づいて、アラート情報５００をオペレータに提示することが必要か否かを判断し、判断結果をアラート情報５００の提示フラグ５０５に設定するためである。

　情報処理装置２０が作成したアラート情報５００を用いる場合、そのアラート情報５００をオペレータに提示する提示装置３０は、機械学習部２１が生成した分類器に基づく分類結果５０６に加え、提示フラグ５０５を用いることができる。つまり提示装置３０は、分類結果５０６に加え、提示フラグ５０５を基に、提示するアラート情報５００を選別できる。より詳細には、提示装置３０は、提示フラグ５０５を基に、過去のアラート情報５００と類似性の低いアラート情報５００を選択して、オペレータに提示することができる。

　このように、情報処理装置２０は、過去のアラート情報５００とは異なる特徴を持つアラート情報５００の選択を容易にしている。

　そのため、情報処理装置２０を含む情報処理システム１０は、過去のアラート情報５００と異なる特徴を持つアラート情報５００に対する分類結果５０６を得ることができる。その結果、情報処理システム１０は、アラート情報５００の誤陰性の発生を低減できる。

　＜第２の実施形態＞
　本発明における第２の実施形態は、正確性を高めるため、再判定を実行する。

　次に、図面を参照して本実施形態に係る情報処理装置６０について説明する。

　［構成の説明］
　まず、情報処理装置６０の構成について図面を参照して説明する。

　図９は、第２の実施形態に係る情報処理装置６０を含む情報処理システム１１の構成の一例を示すブロック９である。図９に示すように情報処理システム１１は、第１の実施形態の情報処理システム１０と比較すると、情報処理装置２０に換えて、情報処理装置６０を含む点で異なる。そのため、第１の実施形態と同様の構成及び動作についての説明を省略し、本実施形態に関連する構成及び動作を説明する。

　図１０は、第２の実施形態に係る情報処理装置６０の構成の一例を示すブロック図である。図１０に示すように、情報処理装置６０は、第１の実施形態の情報処理装置２０の構成に加え、再判定部２４を含む。そのため、第１の実施形態と同様の構成及び動作の詳細な説明を省略し、本実施形態に特有の構成及び動作を中心に説明する。

　再判定部２４は、機械学習部２１が作成（更新）した分類器を用いて、アラート情報記憶部２３に保存されているアラート情報５００を再判定する。

　［動作の説明］
　次に、図面を参照して、再判定部２４の動作について説明する。

　図１１は、第２の実施形態に係る再判定部２４の動作の一例を示すフローチャートである。

　再判定部２４は、まず、アラート情報記憶部２３に保存されているアラート情報５００から、分類結果５０６が「誤検知／自動」であるアラート情報５００を抽出する（ステップＳ６０１）。つまり、再判定部２４は、自装置で誤検知と分類したアラート情報５００を処理対象とする。言い換えると、再判定部２４は、分類結果５０６を再判定するアラート情報５００を抽出する。この分類結果５０６を再判定するアラート情報５００を第３のアラート情報と呼ぶ場合もある。

　次に、再判定部２４は、抽出したアラート情報５００に対する特徴ベクトルを算出する（ステップＳ６０２）。

　そして、再判定部２４は、算出した特徴ベクトルを、更新されている分類器に適用して、判定結果を取得する。つまり、再判定部２４は、更新された分類器を用いて、特徴ベクトルを再判定する（ステップＳ６０３）。

　そして、「正検知」と判定された場合（ステップＳ６０３で「正検知判定」）、再判定部２４は、アラート情報５００の提示フラグ５０５を「１（必要）」に更新する（ステップＳ６０４）。なお、アラート情報５００に対する機能と統一するため、判定部２６が、再判定部２４を含むように構成されてもよい。

　「誤検知」と判定された場合（ステップＳ６０３で「誤検知」）、再判定部２４は、そのアラート情報５００の提示フラグ５０５を更新しない。

　このように、情報処理装置６０は、再判定部２４の動作を基に、提示フラグ５０５を更新する。

　その結果、情報処理装置６０は、提示フラグ５０５が更新されたアラート情報５００を提示装置３０に送信できる。提示装置３０のアラート表示部３１は、更新後に「正検知」と判定されたアラート情報５００を、オペレータに対して表示する。そして、第１の実施形態と同様に、情報処理装置２０は、提示装置３０から、更新後のアラート情報５００に対するオペレータの指示を受信できる。

　既に説明したとおり、機械学習部２１は、分類器を更新する。そのため、情報処理装置６０は、更新された分類器を用いて、分類結果５０６を更新できる。そのため、情報処理装置６０は、情報処理装置２０と比較して、分類結果５０６を、より正確に設定することができる。

　なお、ここまでの説明において、再判定部２４は、分類結果５０６が「誤検知／自動」のアラート情報５００を再判定の対象とした。しかし、再判定部２４は、対象とするアラート情報５００をさらに限定してもよい。再判定の対象とするアラート情報５００の数が多い場合、再判定部２４は、再判定の算出処理に多くの時間を必要とする。そのため、再判定部２４は、例えば、アラート情報５００に含まれる検知時刻５０１を用いて、所定の時刻以降に検知されたアラート情報５００を再判定の対象としてもよい。

　なお、再判定を実行する場合、機械学習部２１は、機械学習において、自装置で分類した分類結果５０６を学習サンプルから除外してもよい。これは、機械学習部２１が、再判定において、自装置の機械学習に基づいた判定結果（分類結果）の再参照を避けた方が望ましい場合があるためである。

　［効果の説明］
　本実施形態に係る情報処理装置６０は、第１の実施形態の効果に加え、より正確性の高い判定を実現するとの効果を奏することができる。

　その理由は、次のとおりである。

　本実施形態に係る情報処理装置６０に含まれる再判定部２４は、自装置で誤検知と分類したアラート情報５００に対して、更新された分類器を用いて再判定する。更新された分類器は、機械学習部２１における学習サンプルが拡充された状態で作成されている。したがって、更新された分類器は、以前の分類器と比較して、分類の正確性が向上していると期待できる。そのため、再判定部２４における更新された分類器を用いた再判定の分類結果５０６は、以前の分類器を用いた分類結果５０６と比較して、より正確性の高い判定となっているためである。

　＜第３の実施形態＞
　情報処理装置２０における非類似度の算出手法は、既に説明した手法に限る必要はない。

　例えば、情報処理装置２０は、非類似度を算出手法として、アラート情報５００の特徴を表す情報を用いてもよい。そこで、アラート情報５００の特徴として、アラート情報５００の統計情報（特に、分布情報）を用いる場合について、第３の実施形態として説明する。

　［構成の説明］
　まず、本実施形態の構成について図面を参照して説明する。

　図１２は、第３の実施形態に係る情報処理装置７０を含む情報処理システム１２の構成の一例を示すブロック図である。図１２に示すように情報処理システム１２は、第１の実施形態の情報処理システム１０と比較すると、情報処理装置２０に換えて、情報処理装置７０を含む点で異なる。そのため、第１の実施形態と同様の構成及び動作についての説明を省略し、本実施形態に関連する構成及び動作を説明する。

　図１３は、第３の本実施形態に係る情報処理装置７０の構成の一例を示すブロック図である。図１３に示すように、情報処理装置７０は、第１の実施形態に情報処理装置２０と比較すると、非類似度算出部２２に換えて、非類似度算出部２５を含む点で異なる。そのため、第１の実施形態と同様の構成及び動作の詳細な説明を省略し、本実施形態に特有の構成及び動作について説明する。つまり、非類似度算出部２５について説明する。

　非類似度算出部２５は、非類似度算出部２２と同様に、新たに受信したアラートに対応するアラート情報（Ａ）と、過去のアラート情報５００との非類似度を算出する。ただし、非類似度算出部２５は、非類似度の算出に、非類似度算出部２２とは異なる方式を用いる。すなわち、非類似度算出部２５は、アラート情報５００を基に算出した特徴ベクトルにおける分布情報を算出し、算出した分布情報を用いてアラート情報（Ａ）を基に算出した特徴ベクトルに対する非類似度を算出する。

　ここで、分布情報は、特徴ベクトル空間上のアラート情報５００の分布を要約した情報である。例えば、情報の分布が、（多次元）正規分布と仮定した場合、非類似度算出部２５は、その分布における平均（μ）と分散（又は共分散行列（Σ））を基に、その正規分布に対する評価対象の情報の関係を、算出できる。ここで、非類似度算出部２５が算出する関係は、例えば、外れ具合（非類似度）を示すマハラノビス距離である。

　そこで、アラート情報５００の分布が、（多次元）正規分布と仮定した場合、非類似度算出部２５は、分布情報として、アラート情報５００の平均（μ）と共分散行列（Σ）を求めればよい。なお、この説明における特徴ベクトルは、例えば、既に説明した第１の実施形態の機械学習における特徴ベクトルでもよいが、これに限る必要はない。例えば、この説明における特徴ベクトルは、ヒストグラム（Ｈ）でもよい。

　なお、本実施形態に係る非類似度算出部２５は、算出した分布情報を、次の非類似度を算出する動作に用いる場合、図示しない記憶部に算出した分布情報を記憶してもよい。

　［動作の説明］
　次に図面を参照して、非類似度算出部２５の動作について詳細に説明する。

　図１４は、第３の実施形態に係る非類似度算出部２５の動作の一例を示すフローチャートである。

　なお、本実施形態に係る非類似度算出部２５が用いる分布情報は、特に制限はない。分布情報とは、例えば、平均、又は、分散などの分布を決定するパラメータである。

　ただし、以下の説明では、非類似度算出部２５は、分布情報として、アラート情報（Ａ）における通信情報５０７に含まれる文字列の出現回数を表すヒストグラム（Ｈ）の平均値（μ）と分散共分散行列（Σ）とを用いるとする。また、非類似度算出部２５は、既に、過去のアラート情報５００に対する分布情報（平均値（μ）と分散共分散行列（Σ））を算出済みで、記憶しているとする。

　また、非類似度算出部２５は、距離の一例として、マハラノビス距離（Ｄ）を用いるとする。

　図１４に示すように、非類似度算出部２５は、非類似度算出部２２と同様に、アラート情報（Ａ）を受信したタイミングで、動作を開始する（ステップＳ２０１）。

　非類似度算出部２５は、アラート情報（Ａ）における通信情報５０７に含まれる文字列に対するヒストグラム（Ｈ）を作成する（ステップＳ２０５）。

　次に、非類似度算出部２５は、作成したヒストグラム（Ｈ）と、記憶している過去のアラート情報５００に対する分布情報（平均値（μ）及び分散共分散行列（Σ））とを用いて、マハラノビス距離（Ｄ）を算出する（ステップＳ２０６）。ここで算出されたマハラノビス距離（Ｄ）が、本実施形態における非類似度である。

　そして、非類似度算出部２５は、作成したヒストグラム（Ｈ）を用いて、過去のアラート情報５００に対する分布情報（平均値（μ）及び分散共分散行列（Σ））を更新する（ステップＳ２０７）。

　このように、本実施形態の非類似度算出部２５は、アラート情報（Ａ）を受信すると、非類似度の算出に用いる分布情報を更新する。この更新に基づいて、非類似度算出部２５は、近似的に、過去のアラート情報５００に対する分散共分散行列（Σ）を算出することができる。

　なお、情報処理装置７０は、第２の実施形態に係る再判定部２４に相当する機能を含んでもよい。

　また、ここまでの本実施形態の説明において、非類似度算出部２５が、非類似度として、アラート情報５００に含まれる通信情報５０７のヒストグラム（Ｈ）を用いた。

　しかし、これは、本実施形態を制限するものではない。非類似度算出部２５は、アラート情報５００の特徴を表す情報として、他の情報を用いてもよい。例えば、非類似度算出部２５は、過去のアラート情報５００の通信情報５０７に基づいて、通信情報５０７に対する確率分布を推定する。そして、非類似度算出部２５は、推定した確率分布におけるアラート情報（Ａ）の出現確率の低さを、非類似度として用いてもよい。

　アラート情報５００の特徴を表す情報（例えば、分布情報）は、アラート情報５００をまとめた情報である。そのため、一般的に、アラート情報５００の特徴を表す情報の数は、アラート情報５００の数より少ない。そのため、非類似度算出部２５は、非類似度算出部２２に比べ、処理する情報量が少ない。その結果、非類似度算出部２５は、非類似度算出部２２に比べ、処理コストを削減できる。

　［効果の説明］
　次に、本実施形態に係る情報処理装置７０の効果について説明する。

　第３の実施形態に係る情報処理装置７０は、第１の実施形態の効果に加え、効率的に非類似度を算出するとの効果を奏することができる。

　その理由は、次のとおりである。

　第１の実施形態に係る情報処理装置２０の非類似度算出部２２は、アラート情報（Ａ）と、複数のアラート情報５００との非類似度を算出する必要があった。

　これに対し、本実施形態に係る非類似度算出部２５は、アラート情報（Ａ）の非類似度として、過去のアラート情報５００の分布情報を用いて算出する。ここで、過去のアラート情報５００の分布情報は、複数のアラート情報５００を少ない数の情報にまとめた情報である。つまり、非類似度算出部２５は、アラート情報（Ａ）の非類似度を、アラート情報５００と比較して、少ない情報を用いて算出するためである。

　＜変形例＞
　以上の説明した情報処理装置２０、情報処理装置６０、及び、情報処理装置７０（以下、まとめて、情報処理装置２０として説明する）は、次のように構成される。

　例えば、情報処理装置２０の各構成部は、ハードウェア回路で構成されてもよい。

　また、情報処理装置２０は、各構成部が、図示しないネットワークを介して接続された複数の装置を用いて、構成されてもよい。例えば、情報処理装置２０は、アラート情報記憶部２３を、図示しない外部の記憶装置として構成されてもよい。

　図１６は、情報処理装置２０の第１の変形例に係る情報処理装置９０の構成の一例を示すブロック図である。

　情報処理装置９０は、アラート情報記憶部２３を、図示しないネットワークなどを介して接続された外部の記憶装置として構成されている。

　そのため、情報処理装置９０は、機械学習部２１と、非類似度算出部２２と、判定部２６とを含む。

　このように構成された情報処理装置９０は、情報処理装置２０と同様の効果を得ることができる。

　その理由は、情報処理装置９０に含まれる各構成が、外部の記憶装置に設けられたアラート情報記憶部２３を用いて、情報処理装置２０の構成と同様に動作できるためである。

　なお、情報処理装置９０は、本発明の実施形態における最小構成である。

　また、情報処理装置２０は、複数の構成部を１つのハードウェアで構成されてもよい。

　また、情報処理装置２０は、ＣＰＵ（Central Processing Unit）と、ＲＯＭ（Read Only Memory）と、ＲＡＭ（Random Access Memory）とを含むコンピュータ装置として実現されてもよい。情報処理装置２０は、上記構成に加え、さらに、入出力接続回路（ＩＯＣ：Input / Output Circuit）と、ネットワークインターフェース回路（ＮＩＣ：Network Interface Circuit）とを含むコンピュータ装置として実現されてもよい。

　図１５は、情報処理装置２０の第２の変形例に係る情報処理装置７００の構成の一例を示すブロック図である。つまり、図１５は、情報処理装置２０を上記のコンピュータ装置として実現した場合の一例である情報処理装置７００の構成の一例を示すブロック図である。

　情報処理装置７００は、ＣＰＵ７１０と、ＲＯＭ７２０と、ＲＡＭ７３０と、内部記憶装置７４０と、ＩＯＣ７５０と、ＮＩＣ７８０とを含み、コンピュータを構成している。

　ＣＰＵ７１０は、ＲＯＭ７２０からプログラムを読み込む。そして、ＣＰＵ７１０は、読み込んだプログラムに基づいて、ＲＡＭ７３０と、内部記憶装置７４０と、ＩＯＣ７５０と、ＮＩＣ７８０とを制御する。そして、ＣＰＵ７１０を含むコンピュータは、これらの構成を制御し、図２に示す、機械学習部２１と、非類似度算出部２２と、判定部２６としての各機能を実現する。

　ＣＰＵ７１０は、各機能を実現する際に、ＲＡＭ７３０又は内部記憶装置７４０を、プログラムの一時記憶として使用してもよい。

　また、ＣＰＵ７１０は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体７９０が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでもよい。あるいは、ＣＰＵ７１０は、ＮＩＣ７８０を介して、図示しない外部の装置からプログラムを受け取り、ＲＡＭ７３０に保存して、保存したプログラムを基に動作してもよい。

　ＲＯＭ７２０は、ＣＰＵ７１０が実行するプログラム及び固定的なデータを記憶する。ＲＯＭ７２０は、例えば、Ｐ－ＲＯＭ（Programmable-ROM）又はフラッシュＲＯＭである。

　ＲＡＭ７３０は、ＣＰＵ７１０が実行するプログラム及びデータを一時的に記憶する。ＲＡＭ７３０は、例えば、Ｄ－ＲＡＭ（Dynamic-RAM）である。

　内部記憶装置７４０は、情報処理装置７００が長期的に保存するデータ及びプログラムを記憶する。また、内部記憶装置７４０は、ＣＰＵ７１０の一時記憶装置として動作してもよい。内部記憶装置７４０は、アラート情報記憶部２３として動作する。内部記憶装置７４０は、例えば、ハードディスク装置、光磁気ディスク装置、ＳＳＤ（Solid State Drive）又はディスクアレイ装置である。

　ここで、ＲＯＭ７２０と内部記憶装置７４０は、不揮発性（non-transitory）の記憶媒体である。一方、ＲＡＭ７３０は、揮発性（transitory）の記憶媒体である。そして、ＣＰＵ７１０は、ＲＯＭ７２０、内部記憶装置７４０、又は、ＲＡＭ７３０に記憶されているプログラムを基に動作可能である。つまり、ＣＰＵ７１０は、不揮発性記憶媒体又は揮発性記憶媒体を用いて動作可能である。

　ＩＯＣ７５０は、ＣＰＵ７１０と、入力機器７６０及び表示機器７７０とのデータを仲介する。ＩＯＣ７５０は、例えば、ＩＯインターフェースカード又はＵＳＢ（Universal Serial Bus）カードである。

　入力機器７６０は、情報処理装置７００の操作者からの入力指示を受け取る機器である。入力機器７６０は、例えば、キーボード、マウス又はタッチパネルである。

　表示機器７７０は、情報処理装置７００の操作者に情報を表示する機器である。表示機器７７０は、例えば、液晶ディスプレイである。

　ＮＩＣ７８０は、ネットワークを介した図示しない外部の装置とのデータのやり取りを中継する。ＮＩＣ７８０は、例えば、ＬＡＮカードである。

　このように構成された情報処理装置７００は、情報処理装置２０と同様の効果を得ることができる。

　その理由は、情報処理装置７００のＣＰＵ７１０が、プログラムに基づいて情報処理装置２０と同様の機能を実現できるためである。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１５年　６月２６日に出願された日本出願特願２０１５－１２８７６８を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

　（付記１）
　既に受信した第１のアラートと第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出する非類似度算出手段と、
　第１のアラート情報に機械学習を適用し、第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成し、第２のアラート情報に分類器を適用して分類結果を判定する気概学習手段と、
　　判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値未満の場合に、第２のアラート情報の分類結果に判定の結果を設定し、第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定し、
　　判定結果が正しい検知を示す正検知の場合、又は、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値以上の場合に、第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する判定手段と
　を含む情報処理装置。

　（付記２）
　機械学習手段が、
　機械学習として、
　機械学習に適用する第１のアラート情報として、自装置以外の判断した分類結果が設定されている第１のアラート情報を抽出し、
　抽出した第１のアラート情報に設定されている分類結果を基に分類器を作成する
　付記１に記載の情報処理装置。

　（付記３）
　機械学習手段が、
　抽出した第１のアラート情報を基に第１の特徴ベクトルを算出し、算出した第１の特徴ベクトルを機械学習に適用して分類器を生成し
　第２のアラート情報を基に第２の特徴ベクトルを算出し、第２の特徴ベクトルを分類器に適用して、分類結果を判定する
　付記２に記載の情報処理装置。

　（付記４）
　判定手段が、
　第２のアラート情報を受信したときに、第２のアラート情報の分類結果を、分類器を用いて判定し他結果である判定結果を第２のアラート情報に設定する
　付記２又は３に記載の情報処理装置。

　（付記５）
　非類似度算出手段が、
　第２のアラート情報と、第１のアラート情報との一部又は全てとの距離を小さい方から並べた場合に所定の順番である距離を非類似度とする
　付記１ないし４のいずれか１項に記載の情報処理装置。

　（付記６）
　非類似度算手段が、
　第１アラート情報に含まれる通信情報に含まれる情報の分布に対する第２のアラート情報に含まれる通信情報の出現確率の低さの程度を非類似度として算出する
　付記１ないし４のいずれか１項に記載の情報処理装置。

　（付記７）
　非類似度算出手段が、
　非類似度として、第１のアラート情報についての分布情報を算出し、算出した分布情報に対する第２のアラート情報の関係を算出する
　付記１ないし４のいずれか１項に記載の情報処理装置。

　（付記８）
　非類似度算手段が、
　第１アラート情報に含まれる通信情報に含まれる情報の分布に対する第２のアラート情報に含まれる通信情報の出現確率の低さの程度を非類似度として算出する
　付記１ないし４のいずれか１項に記載の情報処理装置。

　（付記９）
　第１のアラート情報の中から分類結果を再設定する第３のアラート情報を抽出し、
　第３のアラート情報の特徴ベクトルを算出し、
　第３のアラート情報の特徴ベクトルを分類器に適用して第３のアラート情報の分類結果を再判定する
　再判定手段を
　さらに含む付記１ないし８のいずれか１項に記載の情報処理装置。

　（付記１０）
　付記１ないし９のいずれか１項に記載の情報処理装置と、
　情報処理装置から第１のアラート情報を受信し、分類結果と表示するアラート表示手段と、
　表示されたアラート情報における分類結果に対する入力を受信し、情報処理装置に送信する入力手段と
　を含む提示装置と
　を含む情報処理システム。

　（付記１１）
　既に受信した第１のアラートと第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出し、
　第１のアラート情報に機械学習を適用し、第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成し、
　第２のアラート情報に分類器を適用して分類結果を判定し、
　判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値未満の場合に、第２のアラート情報の分類結果に判定の結果を設定し、第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定し、
　判定結果が正しい検知を示す正検知の場合、又は、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値以上の場合に、第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する
　情報処理方法。

　（付記１２）
　既に受信した第１のアラートと第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出する処理と、
　第１のアラート情報に機械学習を適用し、第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成する処理と、
　第２のアラート情報に分類器を適用して分類結果を判定する処理、
　判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値未満の場合に、第２のアラート情報の分類結果に判定の結果を設定し、第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定する処理と、
　判定結果が正しい検知を示す正検知の場合、又は、判定結果が誤った検知を示す誤検知であり、かつ、非類似度が所定の閾値以上の場合に、第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する処理と
　をコンピュータに実行させるプログラムをコンピュータ読み取り可能に記憶する記憶媒体。

　１０　情報処理システム
　１１　情報処理システム
　１２　情報処理システム
　２０　情報処理装置
　２１　機械学習部
　２２　非類似度算出部
　２３　アラート情報記憶部
　２４　再判定部
　２５　非類似度算出部
　２６　判定部
　３０　提示装置
　４０　ネットワーク
　５０　監視装置
　６０　情報処理装置
　７０　情報処理装置
　９０　情報処理装置
　５００　アラート情報
　５０１　検知時刻
　５０２　送信元ＩＰアドレス
　５０３　送信先ＩＰアドレス
　５０４　検知ルール識別子
　５０５　提示フラグ
　５０６　分類結果
　５０７　通信情報
　７００　情報処理装置
　７１０　ＣＰＵ
　７２０　ＲＯＭ
　７３０　ＲＡＭ
　７４０　内部記憶装置
　７５０　ＩＯＣ
　７６０　入力機器
　７７０　表示機器
　７８０　ＮＩＣ
　７９０　記憶媒体

Claims

　既に受信した第１のアラートと前記第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと前記第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出する非類似度算出手段と、
　前記第１のアラート情報に機械学習を適用し、前記第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成し、前記第２のアラート情報に前記分類器を適用して分類結果を判定する機械学習手段と、
　前記判定結果が誤った検知を示す誤検知であり、かつ、前記非類似度が所定の閾値未満の場合に、前記第２のアラート情報の前記分類結果に前記判定の結果を設定し、前記第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定し、前記判定結果が正しい検知を示す正検知の場合、又は、前記判定結果が誤った検知を示す誤検知であり、かつ、前記非類似度が所定の閾値以上の場合に、前記第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する判定手段と
　を含む情報処理装置。
　前記機械学習手段が、
　前記機械学習として、
　前記機械学習に適用する前記第１のアラート情報として、自装置以外の判断した前記分類結果が設定されている前記第１のアラート情報を抽出し、
　前記抽出した第１のアラート情報に設定されている前記分類結果を基に前記分類器を作成する
　請求項１に記載の情報処理装置。
　前記機械学習手段が、
　前記抽出した第１のアラート情報を基に第１の特徴ベクトルを算出し、算出した前記第１の特徴ベクトルを前記機械学習に適用して前記分類器を生成し、
　前記第２のアラート情報を基に第２の特徴ベクトルを算出し、前記第２の特徴ベクトルを前記分類器に適用して、前記分類結果を判定する
　請求項２に記載の情報処理装置。
　前記判定手段が、
　前記第２のアラート情報を受信したときに、前記第２のアラート情報の前記分類結果を、前記分類器を用いて判定した結果である前記判定結果を前記第２のアラート情報に設定する
　請求項２又は３に記載の情報処理装置。
　前記非類似度算出手段が、
　前記第２のアラート情報と、前記第１のアラート情報との一部又は全てとの距離を小さい方から並べた場合に所定の順番である距離を前記非類似度とする
　請求項１ないし４のいずれか１項に記載の情報処理装置。
　前記非類似度算出手段が、
　前記第１のアラート情報に含まれる通信情報に含まれる情報の分布に対する前記第２のアラート情報に含まれる通信情報の出現確率の低さの程度を前記非類似度として算出する
　請求項１ないし４のいずれか１項に記載の情報処理装置。
　前記第１のアラート情報の中から前記分類結果を再設定する第３のアラート情報を抽出し、
　前記第３のアラート情報の特徴ベクトルを算出し、
　前記第３のアラート情報の特徴ベクトルを前記分類器に適用して前記第３のアラート情報の前記分類結果を再判定する
　再判定手段を
　さらに含む請求項１ないし６のいずれか１項に記載の情報処理装置。
　請求項１ないし７のいずれか１項に記載の情報処理装置と、
　前記情報処理装置から前記第１のアラート情報を受信し、前記分類結果と前記第１のアラート情報とを表示するアラート表示手段と、
　前記表示されたアラート情報における前記分類結果に対する入力を受信し、前記情報処理装置に送信する入力手段と
　を含む提示装置と
　を含む情報処理システム。
　既に受信した第１のアラートと前記第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと前記第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出し、
　前記第１のアラート情報に機械学習を適用し、前記第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成し、
　前記第２のアラート情報に前記分類器を適用して分類結果を判定し、
　前記判定結果が誤った検知を示す誤検知であり、かつ、前記非類似度が所定の閾値未満の場合に、前記第２のアラート情報の前記分類結果に前記判定の結果を設定し、前記第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定し、
　前記判定結果が正しい検知を示す正検知の場合、又は、前記判定結果が誤った検知を示す誤検知であり、かつ、前記非類似度が所定の閾値以上の場合に、前記第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する
　情報処理方法。
　既に受信した第１のアラートと前記第１のアラートに関連する情報とを含む第１のアラート情報と、新たに受信した第２のアラートと前記第２のアラートに関連する情報を含む第２のアラート情報との距離である非類似度を算出する処理と、
　前記第１のアラート情報に機械学習を適用し、前記第１のアラート情報の検知に関する分類の判定結果である分類結果を判定する分類器を生成する処理と、
　前記第２のアラート情報に前記分類器を適用して分類結果を判定する処理、
　前記判定結果が誤った検知を示す誤検知であり、かつ、前記非類似度が所定の閾値未満の場合に、前記第２のアラート情報の前記分類結果に前記判定の結果を設定し、前記第２のアラート情報の提示を示す情報に提示不要であることを示す情報を設定する処理と、
　前記判定結果が正しい検知を示す正検知の場合、又は、前記判定結果が誤った検知を示す誤検知であり、かつ、前記非類似度が所定の閾値以上の場合に、前記第２のアラート情報の提示を示す情報に提示が必要であること示す情報を設定する処理と
　をコンピュータに実行させるプログラムをコンピュータ読み取り可能に記憶する記憶媒体。