WO2019176062A1 - 分析装置、分析方法、及び、記録媒体 - Google Patents

Abstract

脅威ハンティングにおける探索を効率的に行う。　分析装置１００は、モデル生成部１６０、及び、表示部１３０を含む。モデル生成部１６０は、表示された要素に対して行われた操作と、当該要素が表示されるまでの要素の表示履歴と、を含む学習データに基づいて、要素に対して行うべき操作に関する情報を出力するモデルを生成する。表示部１３０は、要素と、モデルにより得られる当該要素に対して行うべき操作に関する情報と、を表示する。

Description

分析装置、分析方法、及び、記録媒体

　本発明は、分析装置、分析方法、及び、記録媒体に関する。

　情報セキュリティにおけるマルウェア等の脅威に対する対策として、複数の対策を多層で行う多層防御によるセキュリティ対策が浸透しつつある。しかしながら、新しい攻撃に対してセキュリティ機器が対応できていない場合、脅威に侵入されてしまうことがある。一旦、脅威による侵入を受けてしまうと、脅威の発見や脅威に対する対処までに時間がかかることが多い。そのため、企業等のネットワーク内に侵入し、潜伏している脅威を発見する、脅威ハンティングが重要になっている
　脅威ハンティングでは、分析者が、分析装置を用いて、サーバ装置や端末装置等のエンドポイントで収集されたイベント情報に基づき、エンドポイントで動作する不審なプログラム（脅威の可能性があるプログラム）を検出する。例えば、分析者は、イベント情報から、プログラムやプログラムがアクセスしたファイル、レジストリ等を検索し、検索結果に関する様々な情報を確認するといった操作を繰り返すことで、不審なプログラムを探索する。分析者は、エンドポイントで収集される膨大なイベント情報に対して、このような探索を効率的に行うことが求められる。また、このような探索には、分析の知識や経験が影響し、知識や経験が不十分なユーザであっても、探索を効率的に行うことが求められる。

　探索における操作の効率化に関連する技術が、例えば、特許文献１に開示されている。特許文献１に記載された機械学習器は、メニュー項目の操作履歴に基づいてメニュー項目の表示を学習し、学習結果に基づいてメニュー項目の位置や順番を決定する。

特開２０１７－１３８８８１号公報

　上述の特許文献１に記載された技術では、メニュー項目の位置や順番は決定されるが、優先的に操作すべきメニュー項目等、メニュー項目に対して行うべき操作に関する情報を提示するものではない。このため、特許文献１に記載された技術を脅威ハンティングに適用しても、膨大なイベント情報に対する探索を効率的に行うことはできない。

　本発明の目的は、上述の課題を解決し、脅威ハンティングにおける探索を効率的に行うための分析装置、分析方法、及び、記録媒体を提供することである。

　本発明の一態様における分析装置は、表示された確認対象に対して行われた操作と、当該確認対象が表示されるまでの確認対象の表示履歴と、を含む学習データに基づいて、確認対象に対して行うべき操作に関する情報を出力するモデルを生成するモデル生成手段と、確認対象と、前記モデルにより得られる当該確認対象に対して行うべき操作に関する情報と、を表示する、表示手段と、を備える。

　本発明の一態様における分析方法は、表示された確認対象に対して行われた操作と、当該確認対象が表示されるまでの確認対象の表示履歴と、を含む学習データに基づいて、確認対象に対して行うべき操作に関する情報を出力するモデルを生成し、確認対象と、前記モデルにより得られる当該確認対象に対して行うべき操作に関する情報と、を表示する。

　本発明の一態様におけるコンピュータが読み取り可能な記録媒体は、コンピュータに、表示された確認対象に対して行われた操作と、当該確認対象が表示されるまでの確認対象の表示履歴と、を含む学習データに基づいて、確認対象に対して行うべき操作に関する情報を出力するモデルを生成し、確認対象と、前記モデルにより得られる当該確認対象に対して行うべき操作に関する情報と、を表示する、処理を実行させるプログラムを記憶する。

　本発明の効果は、脅威ハンティングにおける探索を効率的に行えることである。

第１の実施形態における、分析装置１００の構成を示すブロック図である。 第１の実施形態における、コンピュータに実装された分析装置１００の構成を示すブロック図である。 第１の実施形態における、端末ログの例を示す図である。 第１の実施形態における、端末ログの他の例を示す図である。 第１の実施形態における、端末ログの他の例を示す図である。 第１の実施形態における、学習処理を示すフローチャートである。 第１の実施形態における、学習処理で生成される操作履歴の例を示す図である。 第１の実施形態における、学習処理で生成される画面の例を示す図である。 第１の実施形態における、学習処理で生成される画面の他の例を示す図である。 第１の実施形態における、学習処理で生成される画面の他の例を示す図である。 第１の実施形態における、学習処理で生成されるリスト間の関係を表す図である。 第１の実施形態における、特徴ベクトルの構成を示す図である。 第１の実施形態における、学習処理で生成される特徴ベクトルの例を示す図である。 第１の実施形態における、学習データの例を示す図である。 第１の実施形態における、提案処理を示すフローチャートである。 第１の実施形態における、提案処理で生成される操作履歴の例を示す図である。 第１の実施形態における、提案処理で生成される画面の例を示す図である。 第１の実施形態における、提案処理で生成される画面の他の例を示す図である。 第１の実施形態における、提案処理で生成される特徴ベクトルの例を示す図である。 第１の実施形態の特徴的な構成を示すブロック図である。 第２の実施形態における、学習処理で生成される操作履歴の例を示す図である。 第２の実施形態における、学習データの例を示す図である。 第２の実施形態における、提案処理で生成される画面の例を示す図である。 第２の実施形態における、提案処理で生成される画面の他の例を示す図である。 第２の実施形態における、提案処理で生成される画面の他の例を示す図である。 第２の実施形態における、提案処理で生成される画面の他の例を示す図である。

　発明を実施するための形態について図面を参照して詳細に説明する。なお、各図面、及び、明細書記載の各実施形態において、同様の構成要素には同一の符号を付与し、説明を適宜省略する。

　＜＜第１の実施形態＞＞
　はじめに、第１の実施の形態の構成について説明する。

　図１は、第１の実施形態における、分析装置１００の構成を示すブロック図である。

　図１を参照すると、第１の実施形態の分析装置１００は、端末装置２００と、ネットワーク等により接続される。

　分析装置１００は、脅威ハンティングにおいて、分析者等のユーザによる、端末ログを用いた不審なプログラム（脅威の可能性があるプログラム）の探索を支援する。以下、プログラムの実行単位がプロセスである場合を例に説明するが、プログラムの実行単位は、タスクやジョブ等でもよい。端末ログは、端末装置２００上で動作するプロセスや、プロセスがアクセスするファイル、レジストリ等の分析対象に関するイベントを示すログ（イベントログ）である。

　分析装置１００は、分析対象を示す情報である要素を表示する。要素は、脅威ハンティングにおいて、ユーザが確認する対象である。以下、要素を、「確認対象」とも記載する。要素は、分析対象の識別子（ＩＤ（Identifier））を含む。

　分析装置１００は、ユーザからの指示に従って、表示されている要素に対する操作を行い、その結果をユーザに表示する。ここで操作は、端末ログからの、要素が示す分析対象の詳細情報の抽出や、要素が示す分析対象に関連する他の分析対象の検索を含む。また、操作は、要素が示す分析対象に対する、分析結果（不審な分析対象であるかどうかの判定結果）の付与を含む。

　分析装置１００は、要素に対して行うべき操作に関する情報を、ユーザに提示する。以下、要素に対して行うべき操作に関する情報を「提案情報」とも記載する。第１の実施形態では、提案情報として、「操作の重要度」を出力する。

　端末装置２００は、脅威ハンティングにおけるエンドポイントに相当する。端末装置２００は、例えば、パーソナルコンピュータや、モバイル端末、サーバ装置等、ネットワークに接続されたコンピュータである。端末装置２００は、企業のイントラネット等、プライベートなネットワークに接続されていてもよい。この場合、端末装置２００は、図１に示すように、ファイヤーウォール等のネットワーク装置２１０を介して、インターネット等の公共のネットワークにアクセス可能であってもよい。また、端末装置２００は、インターネット等の公共のネットワークに接続されていてもよい。

　端末装置２００は、分析対象に関するイベントを監視し、イベントの情報を端末ログとして分析装置１００に送信する。なお、端末装置２００は、端末ログを、直接、分析装置１００に送信する代わりに、ログ収集装置（図示せず）等を介して、分析装置１００に送信してもよい。

　分析装置１００は、端末ログ収集部１１０、受付部１２０、表示部１３０、操作履歴収集部１４０、特徴抽出部１５０、モデル生成部１６０、提案部１７０、及び、制御部１８０を含む。さらに、分析装置１００は、端末ログ記憶部１１１、操作履歴記憶部１４１、及び、モデル記憶部１６１を含む。

　端末ログ収集部１１０は、端末装置２００から、端末ログを収集する。

　端末ログ記憶部１１１は、端末ログ収集部１１０により収集された端末ログを記憶する。

　受付部１２０は、ユーザから、要素に関する操作の実行指示を受け付ける。

　表示部１３０は、ユーザから指示された操作を実行し、その結果を含む画面を生成し、表示する。表示部１３０は、画面中の要素に、提案部１７０から出力された提案情報を付与して表示する。ここで、表示部１３０は、提案情報として、操作の重要度を付与する。

　操作履歴収集部１４０は、要素に対する操作の履歴（以下、操作履歴とも記載する）を収集する。

　操作履歴記憶部１４１は、操作履歴収集部１４０により収集された操作履歴を記憶する。

　特徴抽出部１５０は、操作履歴と端末ログとに基づき、操作履歴に含まれる要素の各々について、特徴ベクトルを生成する。特徴ベクトルは、要素が表示されるまでの要素の表示履歴における、各要素が示す分析対象に関する特徴量を含む。

　モデル生成部１６０は、操作履歴と特徴ベクトルとに基づき、学習データを生成する。モデル生成部１６０は、生成した学習データに対して、機械学習を行うことにより、要素に対する提案情報を出力するモデルを生成する。ここで、モデル生成部１６０は、提案情報として操作の重要度を算出するモデルを生成する。

　モデル記憶部１６１は、モデル生成部１６０によって生成されたモデルを記憶する。

　提案部１７０は、モデルを用いて、要素に対する提案情報を決定し、表示部１３０へ出力する。ここで、提案部１７０は、提案情報として、操作の重要度を算出する。

　制御部１８０は、端末装置２００やネットワーク装置２１０に対するプロテクション制御を行う。

　なお、分析装置１００は、ＣＰＵ（Central Processing Unit）とプログラムを格納した記録媒体とを含み、プログラムに基づく制御によって動作するコンピュータであってもよい。

　図２は、第１の実施形態における、コンピュータに実装された分析装置１００の構成を示すブロック図である。

　図２を参照すると、分析装置１００は、ＣＰＵ１０１、記憶デバイス１０２（記録媒体）、入出力デバイス１０３、及び、通信デバイス１０４を含む。ＣＰＵ１０１は、端末ログ収集部１１０、受付部１２０、表示部１３０、操作履歴収集部１４０、特徴抽出部１５０、モデル生成部１６０、提案部１７０、及び、制御部１８０を実装するためのプログラムの命令（Instruction）を実行する。記憶デバイス１０２は、例えば、ハードディスクやメモリ等であり、端末ログ記憶部１１１、操作履歴記憶部１４１、及び、モデル記憶部１６１のデータを記憶する。入出力デバイス１０３は、例えば、キーボード、ディスプレイ等であり、ユーザ等へ、表示部１３０により生成された画面を出力する。また、入出力デバイス１０３は、ユーザ等から、要素に関する操作の入力を受け付ける。通信デバイス１０４は、端末装置２００から端末ログを受信する。また、通信デバイス１０４は、端末装置２００やネットワーク装置２１０に、制御部１８０によるプロテクション制御のための指示を送信する。

　なお、分析装置１００の各構成要素の一部または全部は、汎用または専用の回路（circuitry）やプロセッサ、これらの組み合わせで実装されてもよい。これらの回路やプロセッサは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。また、各構成要素の一部、または、全部は、上述した回路等とプログラムとの組み合わせで実装されてもよい。また、各構成要素の一部、または、全部が、複数の情報処理装置や回路等で実装される場合、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態で実装されてもよい。

　次に、第１の実施形態における分析装置１００の動作を説明する。

　＜学習処理＞
　はじめに、分析装置１００による学習処理について説明する。学習処理は、探索時に生成された操作履歴に基づき、提案情報を出力するモデルを生成する処理である。学習処理は、例えば、知識や経験が豊富なユーザによる探索時に行われる。

　ここでは、端末ログ収集部１１０により端末装置２００から収集された、所定長の期間の端末ログが、予め、端末ログ記憶部１１１に記憶されていると仮定する。

　端末装置２００は、端末装置２００上の分析対象（プロセスや、ファイル、レジストリ等）に関するイベントを監視している。例えば、端末装置２００上で動作するＯＳ（Operating System）がＷｉｎｄｏｗｓ（登録商標）の場合、端末装置２００はイベントとして、プロセスの起動や終了、プロセスハンドルの取得、リモートスレッドの作成等を監視する。さらに、端末装置２００は、イベントとして、プロセスによる他の装置との通信や、プロセス間通信、ファイルやレジストリへのアクセス、攻撃痕跡（Indicators of Attack）等を監視してもよい。ここで、プロセス間通信は、例えば、名前付きパイプやソケット、ウィンドウメッセージ、共有メモリ等を介して、プロセス間で行われる通信である。また、攻撃痕跡は、例えば、外部の特定の通信先との通信や、特定のプロセスの起動、特定のプロセスのファイルへのアクセス、特定のプロセスを自動実行するための情報生成等、脅威による攻撃の可能性があるイベントである。ＯＳがＷｉｎｄｏｗｓ以外の場合でも、端末装置２００は、プロセスやタスク、ジョブ等の実行単位について、同様のイベントを監視する。

　図３、図４、及び、図５は、第１の実施形態における、端末ログの例を示す図である。

　図３は、プロセスの起動／終了に関するログの例である。図３の例では、ログとして、プロセスの起動時刻と終了時刻、当該プロセスのプロセスＩＤとプロセス名、及び、当該プロセスを起動した親プロセスのプロセスＩＤ（親プロセスＩＤ）が登録されている。

　図４は、リモートスレッドの作成に関するログの例である。図４の例では、ログとして、リモートスレッドの作成時刻、当該リモートスレッドの作成元プロセスのプロセスＩＤ（作成元プロセスＩＤ）と作成先プロセスのプロセスＩＤ（作成先プロセスＩＤ）が登録されている。なお、プロセスハンドルの取得についても、同様に、プロセスハンドルの取得時刻、当該プロセスハンドルの取得元プロセスのプロセスＩＤと取得先プロセスのプロセスＩＤが登録される。

　図５は、通信に関するログの例である。図５の例では、ログとして、プロセスによる通信の開始時刻と終了時刻、当該プロセスのプロセスＩＤ、及び、通信先を示すＩＰ（Internet Protocol）アドレスが登録されている。

　例えば、端末ログとして、図３～図５のような端末ログが、端末ログ記憶部１１１に記憶されていると仮定する。

　なお、同じプロセス名の複数のプロセス（プロセスＩＤが異なるインスタンス）が起動できる場合は、インスタンス毎に、異なるプロセスとして識別される。

　図６は、第１の実施形態における、学習処理を示すフローチャートである。

　学習処理では、ユーザによる探索時に、以下のステップＳ１０１～Ｓ１０５の処理が行われる。

　受付部１２０は、ユーザから、要素に関する操作の実行指示を受け付ける（ステップＳ１０１）。

　表示部１３０は、指示に従って操作を実行する（ステップＳ１０２）。

　表示部１３０は、操作の結果を表す画面を生成し、表示する（ステップＳ１０３）。

　操作履歴収集部１４０は、実行された操作の操作履歴を収集する（ステップＳ１０４）。操作履歴収集部１４０は、収集した操作履歴を操作履歴記憶部１４１に保存する。なお、同じ要素に複数回の操作が実行された場合、操作履歴収集部１４０は、後に実行された操作で操作履歴を上書きする。

　分析装置１００は、探索が終了するまで、ステップＳ１０１～Ｓ１０４の処理を繰り返す（ステップＳ１０５）。探索の終了は、例えば、ユーザにより指示される。

　以下、ステップＳ１０１～Ｓ１０５の具体例を説明する。

　ここでは、要素に関する操作として、「表示」、「確認」、「判定（良性）」、及び、「判定（悪性）」を定義する。

　操作「表示」は、端末ログから、検索条件に合致した分析対象を検索し、それらを示す要素のリストを表示することである。検索条件は、文字列か、表示されている要素が示す分析対象に対する関連性により指定される。

　操作「確認」は、端末ログから、表示されている要素が示す分析対象の詳細情報を抽出し、表示することである。

　操作「判定（良性）」は、表示されている要素が示す分析対象に、判定結果「良性」を付与することを示す。ここで、判定結果が「良性」とは、分析対象が不審ではないと判定されたことを示す。

　操作「判定（悪性）」は、表示されている要素が示す分析対象に、判定結果「悪性」を付与することを示す。ここで、判定結果が「悪性」とは、分析対象が不審であると判定されたことを示す。

　図７は、第１の実施形態における、学習処理で生成される操作履歴の例を示す図である。

　図７の例では、操作履歴として、リストのＩＤ（リストＩＤ）、当該リスト中の要素のＩＤ（要素ＩＤ）、及び、当該要素に対して実行された操作が関係付けられている。ここで、要素ＩＤには、例えば、当該要素が示す分析対象のＩＤ（プロセスＩＤやファイルＩＤ、レジストリＩＤ等）が用いられる。さらに、操作「表示」における検索が行われた要素については、検索により得られた要素のリストのＩＤ（子リストＩＤ）、及び、子リストとの関連性（関連性）が関係付けられている。なお、操作とともに示されている矢印は、矢印の右側の操作により、左側の操作が上書きされたことを示す。

　図８、図９、及び、図１０は、第１の実施形態における、学習処理で生成される画面の例を示す図である。

　例えば、受付部１２０は、ユーザによる最初の検索条件「通信あり」の入力により、操作「表示」の実行指示を受け付ける。表示部１３０は、図５の端末ログから、検索条件「通信あり」に合致するプロセス「Ｐ０１」、「Ｐ０２」、「Ｐ０３」を抽出する。表示部１３０は、これらのプロセスを示す要素「Ｐ０１」、「Ｐ０２」、「Ｐ０３」のリスト「Ｌ００」を含む、図８の画面（ａ）を表示する。

　ここで、ユーザにより最初に入力される検索条件として、「通信あり」以外に、例えば、通信先のプロセス名（あるプロセスと通信したプロセスを検索する場合）、アクセス先のファイル名やレジストリ名（あるファイルやレジストリにアクセスしたプロセスを検索する場合）等が用いられる。

　操作履歴収集部１４０は、図７のように、リスト「Ｌ００」の要素「Ｐ０１」、「Ｐ０２」、「Ｐ０３」の操作履歴として、操作「表示」を登録する。

　また、例えば、受付部１２０は、ユーザによる、リスト「Ｌ００」における要素「Ｐ０１」の「詳細」ラベルのクリック、及び、タグ「通信」の選択により、操作「確認」の実行指示を受け付ける。表示部１３０は、図５の端末ログから、プロセス「Ｐ０１」の通信に関する詳細情報を抽出する。表示部１３０は、プロセス「Ｐ０１」の通信に関する詳細情報を含む、図８の画面（ｂ）を表示する。

　ここで、抽出する詳細情報の種別として、通信以外に、例えば、ファイルやレジストリが用いられる。

　操作履歴収集部１４０は、図７のように、リスト「Ｌ００」の要素「Ｐ０１」の操作履歴に、操作「確認」を上書きする。

　また、例えば、受付部１２０は、ユーザによる、リスト「Ｌ００」における要素「Ｐ０１」の「関連」ラベルのクリック、及び、関連性「子プロセス」の選択により、操作「表示」の実行指示を受け付ける。表示部１３０は、図３の端末ログから、プロセス「Ｐ０１」の子プロセス「Ｐ０４」、「Ｐ０５」を抽出する。表示部１３０は、図９の画面（ａ）に続いて、これらの子プロセスを示す要素「Ｐ０４」、「Ｐ０５」のリスト「Ｌ０１」を含む、図９の画面（ｂ）を表示する。

　ここで、関連性としては、例えば、プロセス間の関連性や、プロセスとファイル間の関連性、プロセスとレジストリ間の関連性が用いられる。

　プロセス間の関連性としては、例えば、プロセスの親子関係（親プロセス、子プロセス）や、プロセスハンドルの取得関係（取得先プロセス、取得元プロセス）、リモートスレッドの作成関係（作成先プロセス、作成元プロセス）等が用いられる。ここで、親プロセス、子プロセスの代わりに、それぞれ、祖先プロセスや孫プロセスが用いられてもよい。また、プロセス間の関連性として、動作時間の重複（重複プロセス）や、プロセス間通信（相手先プロセス）、同名プロセス（同じプロセス名のインスタンス）が用いられてもよい。

　また、プロセスとファイル間の関連性としては、アクセス関係（プロセスがアクセスしたファイル、ファイルにアクセスしたプロセス）が用いられる。この場合、関連性の選択の結果、プロセスがアクセスしたファイルや、ファイルにアクセスしたプロセスが検索され、表示される。

　同様に、プロセスとレジストリ間の関連性としては、アクセス関係（プロセスがアクセスしたレジストリ、レジストリにアクセスしたプロセス）が用いられる。この場合、関連性の選択の結果、プロセスがアクセスしたレジストリや、レジストリにアクセスしたプロセスが検索され、表示される。

　操作履歴収集部１４０は、図７のように、リスト「Ｌ００」の要素「Ｐ０１」の操作履歴に、子リストＩＤ「Ｌ０１」、関連性「子プロセス」を登録する。また、操作履歴収集部１４０は、リスト「Ｌ０１」の要素「Ｐ０４」、「Ｐ０５」の操作履歴として、操作「表示」を登録する。

　また、例えば、受付部１２０は、ユーザによる、リスト「Ｌ０１」における要素「Ｐ０５」の「判定」ラベルをクリック、及び、判定結果「悪性」の選択により、操作「判定（悪性）」の実行指示を受け付ける。表示部１３０は、プロセス「Ｐ０５」に判定結果「悪性」を付与する。表示部１３０は、図１０の画面（ａ）に続いて、当該プロセスを示す要素「Ｐ０５」に判定結果「悪性」を付与した、図１０の画面（ｂ）を表示する。

　操作履歴収集部１４０は、図７のように、リスト「Ｌ０１」の要素「Ｐ０５」の操作履歴に、操作「判定（悪性）」を上書きする。

　図１１は、第１の実施形態における、学習処理で生成されるリスト間の関係を表す図である。

　以降、探索が終了するまで、同様に、ユーザからの指示に従って操作が実行され、操作履歴が収集される。この結果、例えば、図１１のようにリストが表示され、図７のように操作履歴が登録される。

　次に、制御部１８０は、判定結果に基づき、プロテクション制御を実行する（ステップＳ１０６）。

　ここで、制御部１８０は、プロテクション制御として、例えば、端末装置２００に対して、判定結果「悪性」が付与されたプロセスの停止を指示する。また、制御部１８０は、端末装置２００が接続されたネットワーク装置２１０に対して、判定結果「悪性」が付与されたプロセスが通信する特定の通信先との通信の遮断を指示してもよい。また、制御部１８０は、判定結果「悪性」が付与されたプロセスに対して実行可能なプロテクション制御の方法をユーザに提示し、ユーザからの応答に従ってプロテクション制御を実行してもよい。

　次に、特徴抽出部１５０は、操作履歴と端末ログとに基づき、操作履歴に含まれる要素の各々について、特徴ベクトルを生成する（ステップＳ１０７）。

　図１２は、第１の実施形態における、特徴ベクトルの構成を示す図である。図１２に示すように、特徴ベクトルは、当該特徴ベクトルの生成対象の要素のＫ－１（Ｋは１以上の整数）ステップ前に表示された要素から、当該特徴ベクトルの生成対象の要素までの、要素の表示履歴に基づき生成される。特徴ベクトルには、当該表示履歴に含まれるＫ個の要素の要素特徴量が、表示された順番に設定される。なお、特徴ベクトルには、起点の（最初の検索で得られた）要素の要素特徴量が、常に含まれていてもよい。また、起点の要素から特徴ベクトルの生成対象の要素に至るまでに、前の要素の表示に戻るような操作が行われた場合であっても、起点の要素から当該生成対象の要素までの最短パス上の要素の要素特徴量が設定されていてもよい。

　要素特徴量は、要素が示す分析対象に関する特徴量である。図１２に示すように、要素特徴量は、さらに、「分析対象特徴量」と、「リスト特徴量」と、を含む。分析対象特徴量は、要素が示す分析対象（プロセスやファイル、レジストリ等）自体の動作や特性を表す特徴量である。リスト特徴量は、要素を含むリストの特性を表す特徴量である。

　分析対象がプロセスの場合、分析対象特徴量は、プロセスの実行回数や子プロセスの数、自プロセスや親プロセスのプロセス名を含んでいてもよい。ここで、子プロセスは、所定のディレクトリ以外に存在する子プロセスでもよい。また、分析対象特徴量は、プロセスがアクセスしたファイルの拡張子毎のアクセス回数や、ディレクトリ毎のアクセス回数等を含んでいてもよい。また、分析対象特徴量は、プロセスがアクセスしたレジストリのキー毎のアクセス回数を含んでいてもよい。また、分析対象特徴量は、プロセスが通信を行った通信先の数や、通信先毎の通信回数等を含んでいてもよい。また、分析対象特徴量は、攻撃痕跡の種別毎の数を含んでいてもよい。

　分析対象がファイルの場合、分析対象特徴量は、ファイル名から抽出される特徴量や、ファイルへのアクセス種別毎のアクセス回数、ファイルへのアクセス時におけるデータサイズ等を含んでいてもよい。

　要素がレジストリの場合も、分析対象特徴量は、同様に、レジストリに関する特徴量を含む。

　リスト特徴量は、リストを表示する１ステップ前に表示されたリスト内の要素に対する操作「確認」で選択された関連性（リストを表示するために選択された関連性）に関する特徴量を含んでいてもよい。また、リスト特徴量は、リストの起点からの深さを含んでいてもよい。また、リスト特徴量は、リスト中の要素数を含んでいてもよい。また、リスト特徴量は、リスト中のプロセス名毎の出現数や出現頻度を含んでいてもよい。

　また、起点の要素のリスト特徴量は、要素を検索するために用いた検索条件の文字列に関する特徴量を含んでいてもよい。この場合、特徴量として、検索文字列に対して算出されるＮ－ｇｒａｍ（Ｎ文字の組み合わせの出現数）が用いられてもよい。

　特徴ベクトルに起点の要素の要素特徴量を含める場合であって、各要素特徴量がｄ（ｄは１以上の整数）個の特徴量を含む場合、特徴ベクトルは、ｄ×（Ｋ＋１）次元のベクトルとなる。

　図１３は、第１の実施形態における、学習処理で生成される特徴ベクトルの例を示す図である。

　図１３において、ｆ（Ｌｘｘ，Ｐｙｙ）は、リストＬｘｘの要素Ｐｙｙについて算出された要素特徴量を示す。図１３の例では、特徴ベクトルに、起点の要素、当該特徴ベクトルの生成対象の要素の１ステップ前に表示された要素、及び、当該生成対象の要素の特徴量が設定されている。なお、あるステップで表示された要素が無い場合には、当該ステップの要素特徴量として「all zero」（要素特徴量に含まれる分析対象特徴量、及び、リスト特徴量内の全ての特徴量の値が０）が用いられてもよい。

　例えば、特徴抽出部１５０は、図３～図５の端末ログと図７の操作履歴に基づき、操作履歴に含まれる各要素について、図１３のように特徴ベクトルを生成する。

　次に、モデル生成部１６０は、操作履歴と特徴ベクトルとに基づき、学習データを生成する（ステップＳ１０８）。ここで、モデル生成部１６０は、操作履歴に含まれる各要素について、当該要素に対して行われた操作と、当該要素に対して生成された特徴ベクトルと、を関係付けることにより、学習データを生成する。

　図１４は、第１の実施形態における、学習データの例を示す図である。

　例えば、モデル生成部１６０は、図７の操作履歴と図１３の特徴ベクトルとに基づき、図１４のように学習データを生成する。

　次に、モデル生成部１６０は、学習データに対して機械学習を行い、モデルを生成する（ステップＳ１０９）。モデル生成部１６０は、生成したモデルをモデル記憶部１６１に保存する。

　ここで、モデル生成部１６０は、モデルとして、例えば、特徴ベクトルから重要度の数値を出力する回帰モデルを生成してもよい。この場合、操作は、その重要度に応じた数値（例えば、判定（悪性）＝１００、確認＝５０、表示＝２０、判定（良性）＝０）に変換され、学習に用いられる。また、この場合、学習アルゴリズムとして、例えば、ニューラルネットワーク、ランダムフォレスト、サポートベクター回帰等が用いられる。

　また、モデル生成部１６０は、モデルとして、特徴ベクトルから重要度のクラスを出力する分類モデルを生成してもよい。この場合、操作は、その重要度に応じたクラス（例えば、判定（悪性）＝Ａ、確認＝Ｂ、表示＝Ｃ、判定（良性）＝Ｄ）に変換され、学習に用いられる。また、この場合、学習アルゴリズムとして、例えば、ニューラルネットワーク、ランダムフォレスト、サポートベクターマシン等が用いられる。

　例えば、モデル生成部１６０は、図１４の学習データを用いて、特徴ベクトルから重要度の数値を出力する回帰モデルを生成する。

　＜提案処理＞
　次に、分析装置１００による提案処理について説明する。提案処理は、学習処理により生成されたモデルを用いて、要素に対する提案情報を決定し、ユーザに提示する処理である。提案処理は、例えば、知識や経験が不十分なユーザによる探索時に、探索を効率化するために行われる。また、提案処理は、知識や経験が不十分なユーザ以外のユーザによる探索時に行われてもよい。

　ここでは、端末ログとして、図３～図５の端末ログと同様に、所定長の期間の端末ログが、端末ログ記憶部１１１に記憶されていると仮定する。

　図１５は、第１の実施形態における、提案処理を示すフローチャートである。

　提案処理では、ユーザによる探索時に、以下のステップＳ２０１～Ｓ２０８の処理が行われる。

　受付部１２０は、ユーザから、要素に関する操作の実行指示を受け付ける（ステップＳ２０１）。

　表示部１３０は、指示に従って操作を実行する（ステップＳ２０２）。

　特徴抽出部１５０は、ユーザから実行指示された操作が「表示」の場合（ステップＳ２０３／Ｙ）、操作履歴と端末ログとに基づき、検索により得られた各要素について、特徴ベクトルを生成する（ステップＳ２０４）。

　提案部１７０は、特徴ベクトルとモデルを用いて、検索により得られた各要素について、提案情報を決定する（ステップＳ２０５）。ここで、提案部１７０は、モデル記憶部１６１に記憶されたモデルに、ステップＳ２０４で生成した特徴ベクトルを適用することにより、重要度を算出する。提案部１７０は、表示部１３０に、算出した重要度を出力する。

　表示部１３０は、操作の結果を表す画面に、提案部１７０から出力された提案情報を付与し、表示する（ステップＳ２０６）。ここで、表示部１３０は、リストに含まれる要素の各々に、重要度を付与する。

　操作履歴収集部１４０は、実行された操作の操作履歴を収集する（ステップＳ２０７）。

　分析装置１００は、探索が終了するまで、ステップＳ２０１～Ｓ２０７の処理を繰り返す（ステップＳ２０８）。

　以下、探索における、ステップＳ２０１～Ｓ２０８の具体例を説明する。

　図１６は、第１の実施形態における、提案処理で生成される操作履歴の例を示す図である。また、図１７、及び、図１８は、第１の実施形態における、提案処理で生成される画面の例を示す図である。また、図１９は、第１の実施形態における、提案処理で生成される特徴ベクトルの例を示す図である。

　例えば、受付部１２０は、ユーザによる最初の検索条件「通信あり」の入力により、操作「表示」の実行指示を受け付ける。表示部１３０は、端末ログから、検索条件「通信あり」に合致するプロセス「Ｐ１１」、「Ｐ１２」、「Ｐ１３」を抽出し、これらのプロセスを示す要素「Ｐ１１」、「Ｐ１２」、「Ｐ１３」のリスト「Ｌ１０」を生成する。

　特徴抽出部１５０は、リスト「Ｌ１０」の要素「Ｐ１１」、「Ｐ１２」、「Ｐ１３」の各々について、端末ログに基づき、図１９のように特徴ベクトルを生成する。

　提案部１７０は、学習処理により生成されたモデルに、図１９の特徴ベクトルを適用することにより、リスト「Ｌ１０」の要素「Ｐ１１」、「Ｐ１２」、「Ｐ１３」の重要度を、それぞれ、例えば「５０」、「１０」、「４０」のように算出する。

　表示部１３０は、算出した重要度が付与されたリスト「Ｌ１０」を含む、図１７の画面を表示する。

　操作履歴収集部１４０は、図１６のように、リスト「Ｌ１０」の要素「Ｐ１１」、「Ｐ１２」、「Ｐ１３」の操作履歴に、操作「表示」を登録する。

　また、例えば、受付部１２０は、リスト「Ｌ１０」において大きな重要度が付与された要素「Ｐ１１」について、ユーザによる「関連」ラベルのクリック、及び、関連性「子プロセス」の選択により、操作「表示」の実行指示を受け付ける。表示部１３０は、端末ログから、プロセス「Ｐ１１」の子プロセス「Ｐ１４」、「Ｐ１５」を抽出し、これらの子プロセスを示す要素「Ｐ１４」、「Ｐ１５」のリスト「Ｌ１１」を生成する。

　特徴抽出部１５０は、リスト「Ｌ１１」の要素「Ｐ１４」、「Ｐ１５」の各々について、端末ログと図１６の操作履歴とに基づき、図１９のように特徴ベクトルを生成する。

　提案部１７０は、学習処理により生成されたモデルに、図１９の特徴ベクトルを適用することにより、要素「Ｐ１４」、「Ｐ１５」の重要度を、それぞれ、例えば「３０」、「４０」のように算出する。

　表示部１３０は、算出した重要度が付与されたリスト「Ｌ１１」を含む、図１８の画面を表示する。

　操作履歴収集部１４０は、図１６のように、リスト「Ｌ１０」の要素「Ｐ１１」の操作履歴に、子リストＩＤ「Ｌ１１」、関連性「子プロセス」を登録する。また、操作履歴収集部１４０は、リスト「Ｌ１１」の要素「Ｐ１４」、「Ｐ１５」の操作履歴に、操作「表示」を登録する。

　なお、重要度の違いが識別できれば、重要度は、リストにおける要素の領域の色や文字の大きさ、形状等により表されてもよい。また、リストにおいて、要素が重要度の大きい順番に配置されてもよい。また、重要度が所定の閾値以下の要素については、リストへの表示が省略されてもよい。

　以降、探索が終了するまで、同様に、ユーザからの指示に従って操作が実行される。

　ユーザは、要素に付与された重要度により、優先的に操作すべき要素を把握できるため、不審なプロセスの探索を効率的に実行できる。

　次に、制御部１８０は、判定結果に基づき、プロテクション制御を実行する（ステップＳ２０９）。

　例えば、プロセス「Ｐ１５」に判定結果「悪性」が付与された場合、制御部１８０は、端末装置２００にプロセス「Ｐ１５」の停止を指示する。端末装置２００はプロセス「Ｐ１５」を停止する。

　以上により、第１の実施形態の動作が完了する。

　次に、第１の実施形態の特徴的な構成について説明する。

　図２０は、第１の実施形態の特徴的な構成を示すブロック図である。

　図２０を参照すると、分析装置１００は、モデル生成部１６０、及び、表示部１３０を含む。モデル生成部１６０は、表示された要素（確認対象）に対して行われた操作と当該要素が表示されるまでの要素の表示履歴とを含む学習データに基づいて、要素に対して行うべき操作に関する情報（提案情報）を出力するモデルを生成する。表示部１３０は、要素と、モデルにより得られる当該要素に対して行うべき操作に関する情報と、を表示する。

　次に、第１の実施形態の効果について説明する。

　第１の実施形態によれば、脅威ハンティングにおける探索を効率的に行うことができる。その理由は、モデル生成部１６０が、要素に対する提案情報を出力するモデルを生成し、表示部１３０が、要素と、モデルにより得られる要素に対する提案情報と、を表示するためである。

　また、第１の実施形態によれば、脅威ハンティングにおいて、ユーザが、優先的に操作すべき要素を容易に把握できる。その理由は、モデル生成部１６０が、提案情報として操作の重要度を出力するモデルを生成し、表示部１３０が、モデルにより得られる各要素の操作の重要度を表示するためである。

　また、第１の実施形態によれば、脅威ハンティングにおいて、分析者が着目する情報を反映した適切な提案情報を提示できる。その理由は、モデル生成部１６０が、要素に対して行われた操作と、表示履歴に含まれる各要素が示す分析対象に関する特徴量と、を関係付けた学習データに基づいて、モデルを生成するためである。一般に、脅威ハンティングでは、表示された要素に対して行われる操作は、要素の表示履歴における、各要素が示す分析対象に関する特徴（分析対象の特性や、前後の要素の分析対象間の関連性）に依存すると考えられる。このような、表示履歴中の各要素が示す分析対象に関する特徴量を学習データとして用いることにより、分析者が着目する情報を考慮したモデルが生成される。したがって、生成されたモデルにより適切な提案情報を提示できる。

　＜＜第２の実施形態＞＞
　次に、第２の実施形態について説明する。

　第２の実施形態では、提案情報として、「操作の内容」を出力する点で、第１の実施形態と異なる。以下、操作の内容が、操作「確認」において確認すべき「詳細情報の種別」（以下、「推奨種別」とも記載する）である場合を例に説明する。

　はじめに、第２の実施の形態の構成について説明する。

　第２の実施形態における、分析装置１００の構成を示すブロック図は、第１の実施形態（図１）と同様である。

　操作履歴収集部１４０は、第１の実施形態と同様の操作履歴に、さらに、操作「確認」において、ユーザにより選択された詳細情報の種別を登録する。

　モデル生成部１６０は、操作「確認」において選択された詳細情報の種別と、特徴ベクトルと、を関係付けることにより、学習データを生成する。モデル生成部１６０は、提案情報として要素に対する推奨種別を出力するモデルを生成する。

　提案部１７０は、モデルを用いて、要素に対する推奨種別を決定し、表示部１３０へ出力する。

　表示部１３０は、画面中の要素に、提案部１７０から出力された推奨種別を付与して表示する。

　次に、第２の実施形態における分析装置１００の動作を説明する。

　＜学習処理＞
　はじめに、分析装置１００の学習処理について説明する。

　第２の実施形態における、学習処理を示すフローチャートは、第１の実施形態（図６）と同様である。

　上述のステップＳ１０４において、操作履歴収集部１４０は、操作履歴に、さらに、操作「確認」においてユーザにより選択された詳細情報の種別を登録する。

　図２１は、第２の実施形態における、学習処理で生成される操作履歴の例を示す図である。

　図２１の例では、操作履歴として、第１の実施形態と同様のリストＩＤ、要素ＩＤ、操作、子リストＩＤ、及び、関連性に加えて、操作「確認」において選択された詳細情報の種別（確認種別）が関係付けられている。

　例えば、図８の画面（ａ）における要素「Ｐ０１」の「詳細」ラベルのクリック、タグ「通信」の選択に従い、表示部１３０が、プロセス「Ｐ０１」の通信に関する詳細情報を含む、図８の画面（ｂ）を表示したと仮定する。この場合、操作履歴収集部１４０は、図２１のように、リスト「Ｌ００」の要素「Ｐ０１」の操作履歴に、操作「確認」を上書きするとともに、選択された詳細情報の種別「通信」を確認種別に登録する。

　以降、探索が終了するまで、同様に、ユーザからの指示に従って操作が実行され、操作履歴が収集される。この結果、例えば、図２１のように操作履歴が登録される。

　また、上述のステップＳ１０８において、モデル生成部１６０は、操作履歴に含まれる操作「確認」が行われた要素の各々について、選択された詳細情報の種別と、特徴ベクトルと、を関係付けることにより、学習データを生成する。

　図２２は、第２の実施形態における、学習データの例を示す図である。

　例えば、モデル生成部１６０は、図２１の操作履歴と図１３の特徴ベクトルとに基づき、図２２のように学習データを生成する。

　また、上述のステップＳ１０９において、モデル生成部１６０は、図２２の学習データを用いて、例えば、特徴ベクトルから推奨種別を出力する分類モデルを生成する。

　＜提案処理＞
　次に、分析装置１００の提案処理について説明する。

　第２の実施形態における、学習処理を示すフローチャートは、第１の実施形態（図１５）と同様である。

　上述のステップＳ２０５において、提案部１７０は、モデルに、ステップＳ２０４で生成した特徴ベクトルを適用することにより、推奨種別を決定する。

　上述のステップＳ２０６において、表示部１３０は、リストに含まれる要素の各々に、推奨種別を付与して表示する。

　図２３、図２４は、第２の実施形態における、提案処理で生成される画面の例を示す図である。

　例えば、受付部１２０は、ユーザによる最初の検索条件「通信あり」の入力により、操作「表示」の実行指示を受け付ける。表示部１３０は、端末ログから、検索条件「通信あり」に合致するプロセス「Ｐ１１」、「Ｐ１２」、「Ｐ１３」を抽出し、リスト「Ｌ１０」を生成する。

　特徴抽出部１５０は、リスト「Ｌ１０」の要素「Ｐ１１」、「Ｐ１２」、「Ｐ１３」の各々について、端末ログに基づき、図１９のように特徴ベクトルを生成する。

　提案部１７０は、学習処理により生成されたモデルに、図１９の特徴ベクトルを適用することにより、要素「Ｐ１１」、「Ｐ１２」、「Ｐ１３」の推奨種別を、それぞれ、例えば「通信」、「ファイル」、「レジストリ」のように決定する。

　表示部１３０は、決定した推奨種別が「詳細」ラベルに付与されたリスト「Ｌ１０」を含む、図２３の画面（ａ）を表示する。

　なお、表示部１３０は、「詳細」ラベルへの推奨種別の付与に加えて、「詳細」ラベルがクリックされたときに、図２３の画面（ｂ）のように、推奨種別の詳細情報を優先的に表示する、或いは、推奨種別を強調して表示してもよい。また、表示部１３０は、「詳細」ラベルに推奨種別を付与する代わりに、同様の表示をしてもよい。

　また、例えば、受付部１２０は、リスト「Ｌ１０」の要素「Ｐ１１」について、ユーザによる、「関連」ラベルのクリック、及び、関連性「子プロセス」の選択により、操作「表示」の実行指示を受け付ける。表示部１３０は、端末ログから、プロセス「Ｐ１１」の子プロセス「Ｐ１４」、「Ｐ１５」を抽出し、リスト「Ｌ１１」を生成する。

　特徴抽出部１５０は、リスト「Ｌ１１」の要素「Ｐ１４」、「Ｐ１５」の各々について、端末ログと操作履歴とに基づき、図１９のように特徴ベクトルを生成する。

　提案部１７０は、学習処理により生成されたモデルに、図１９の特徴ベクトルを適用することにより、要素「Ｐ１４」、「Ｐ１５」の推奨種別を、それぞれ、例えば「通信」、「ファイル」のように算出する。

　表示部１３０は、決定した推奨種別が「詳細」ラベルに付与されたリスト「Ｌ１１」を含む、図２４の画面を表示する。

　以降、探索が終了するまで、同様に、ユーザからの指示に従って操作が実行される。

　ユーザは、要素に付与された推奨種別により、確認すべき詳細情報の種別を把握できるため、不審なプロセスの探索を効率的に実行できる。
　なお、ここでは、画面中の各要素に１つの推奨種別が付与される場合を例に説明した。しかしながら、これに限らず、各要素に複数の推奨種別が付与されてもよい。この場合、モデル生成部１６０は、例えば、詳細情報の種別の各々について、当該種別を推奨するか否かを決定する２値の分類モデルを生成する。提案部１７０は、モデルを用いて、各要素に対する１以上の推奨種別を決定する。そして、表示部１３０は、画面中の各要素に、１以上の推奨種別を付与して表示する。

　以上により、第２の実施形態の動作が完了する。

　図２５、及び、図２６は、第２の実施形態における、提案処理で生成される他の画面の例を示す図である。

　第２の実施形態の具体例として、提案情報として操作の内容が出力される場合を例に説明した。しかしながら、これに限らず、図２５に示すように、第１の実施形態により得られる操作の重要度と、第２の実施形態により得られる操作の内容と、の両方が出力されてもよい。

　また、第２の実施形態の具体例として、操作の内容が、操作「確認」において確認すべき詳細情報の種別（推奨種別）である場合を説明した。しかしながら、これに限らず、操作の内容は、操作「表示」において検索すべき他の分析対象との関連性（以下、「推奨関連性」とも記載する）等、推奨種別以外でもよい。

　この場合、モデル生成部１６０は、操作「表示」において選択された関連性と、特徴ベクトルと、を関係付けることにより、学習データを生成する。モデル生成部１６０は、提案情報として要素に対する推奨関連性を出力するモデルを生成する。提案部１７０は、モデルを用いて、要素に対する推奨関連性を決定し、表示部１３０へ出力する。そして、表示部１３０は、図２６に示すように、画面中の要素の「関連」ラベルに推奨関連性を付与して表示する。また、表示部１３０は、「関連」ラベルがクリックされたときに表示される画面において、推奨関連性を強調して表示してもよい。

　次に、第２の実施形態の効果について説明する。

　第２の実施形態によれば、脅威ハンティングにおいて、ユーザが、要素に対して行うべき操作の内容（操作「確認」で選択すべき詳細情報の種別や、操作「表示」で選択すべき関連性）を容易に把握できる。その理由は、モデル生成部１６０が、提案情報として操作の内容を出力するモデルを生成し、表示部１３０が、モデルにより得られる各要素の操作の内容を表示するためである。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　１００　　分析装置
　１０１　　ＣＰＵ
　１０２　　記憶デバイス
　１０３　　入出力デバイス
　１０４　　通信デバイス
　１１０　　端末ログ収集部
　１１１　　端末ログ記憶部
　１２０　　受付部
　１３０　　表示部
　１４０　　操作履歴収集部
　１４１　　操作履歴記憶部
　１５０　　特徴抽出部
　１６０　　モデル生成部
　１６１　　モデル記憶部
　１７０　　提案部
　１８０　　制御部
　２００　　端末装置
　２１０　　ネットワーク装置

Claims (10)

1. 　表示された確認対象に対して行われた操作と、当該確認対象が表示されるまでの確認対象の表示履歴と、を含む学習データに基づいて、確認対象に対して行うべき操作に関する情報を出力するモデルを生成するモデル生成手段と、
   　確認対象と、前記モデルにより得られる当該確認対象に対して行うべき操作に関する情報と、を表示する、表示手段と、
   　を備える分析装置。
2. 　前記操作に関する情報は、操作の重要度、及び、操作の内容の内の少なくとも一方を含む、
   　請求項１に記載の分析装置。
3. 　前記確認対象は、分析対象を示す情報であり、
   　前記操作は、分析対象に関するイベントログからの確認対象が示す分析対象の詳細情報の抽出、前記イベントログからの確認対象が示す分析対象に関連する他の分析対象の検索、及び、確認対象が示す分析対象に対する判定結果の入力、の内の少なくとも一つを含む、
   　請求項２に記載の分析装置。
4. 　前記操作の内容は、前記詳細情報の抽出において抽出すべき情報の種別、及び、前記他の分析対象の検索において指定すべき関連性の内の少なくとも一方を含む、
   　請求項３に記載の分析装置。
5. 　前記モデル生成手段は、前記表示された確認対象に対して行われた操作と、前記表示履歴に含まれる１以上の確認対象の各々が示す分析対象に関する特徴量と、を関係付けた学習データに基づいて、前記モデルを生成する、
   　請求項３または４に記載の分析装置。
6. 　前記操作は、分析対象に関するイベントログからの確認対象が示す分析対象に関連する他の分析対象の検索を含み、
   　前記１以上の確認対象の各々が示す分析対象に関する特徴量は、当該分析対象の特徴量と、当該確認対象の前に表示された確認対象に対して行われた検索において指定された関連性の特徴量と、を含む、
   　請求項５に記載の分析装置。
7. 　前記分析対象は、コンピュータ上で動作するプロセスを含む、
   　請求項３乃至６のいずれか一つに記載の分析装置。
8. 　前記分析対象は、さらに、プロセスがアクセスしたファイル、及び、プロセスがアクセスしたレジストリの内の少なくとも一方を含む、
   　請求項７に記載の分析装置。
9. 　表示された確認対象に対して行われた操作と、当該確認対象が表示されるまでの確認対象の表示履歴と、を含む学習データに基づいて、確認対象に対して行うべき操作に関する情報を出力するモデルを生成し、
   　確認対象と、前記モデルにより得られる当該確認対象に対して行うべき操作に関する情報と、を表示する、
   　分析方法。
10. 　コンピュータに、
    　表示された確認対象に対して行われた操作と、当該確認対象が表示されるまでの確認対象の表示履歴と、を含む学習データに基づいて、確認対象に対して行うべき操作に関する情報を出力するモデルを生成し、
    　確認対象と、前記モデルにより得られる当該確認対象に対して行うべき操作に関する情報と、を表示する、
    　処理を実行させるプログラムを記憶する、コンピュータが読み取り可能な記録媒体。

Images