WO2019188975A1 - 脅威情報評価装置、脅威情報評価方法およびプログラム - Google Patents

脅威情報評価装置、脅威情報評価方法およびプログラム Download PDF

Info

Publication number
WO2019188975A1
WO2019188975A1 PCT/JP2019/012498 JP2019012498W WO2019188975A1 WO 2019188975 A1 WO2019188975 A1 WO 2019188975A1 JP 2019012498 W JP2019012498 W JP 2019012498W WO 2019188975 A1 WO2019188975 A1 WO 2019188975A1
Authority
WO
WIPO (PCT)
Prior art keywords
threat information
evaluation
unit
security operator
allocation
Prior art date
Application number
PCT/JP2019/012498
Other languages
English (en)
French (fr)
Inventor
英俊 川口
裕一 石原
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to US17/041,589 priority Critical patent/US11416610B2/en
Publication of WO2019188975A1 publication Critical patent/WO2019188975A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Abstract

脅威情報の評価を行う脅威情報評価装置は、入力された脅威情報リストの中の脅威情報をセキュリティ運用者又は評価部に割り振る割り振り部と、当該評価部に割り振られた脅威情報の評価を行う評価部とを有する。前記割り振り部は、前記評価部が行った評価と前記セキュリティ運用者により決定された評価とに基づいて推定精度を算出し、前記推定精度に基づいて割り振りを行う。

Description

脅威情報評価装置、脅威情報評価方法およびプログラム
 本発明は、脅威情報評価装置、脅威情報評価方法およびプログラムに関し、例えば、IPS(Intrusion Prevention System)やアンチウイルスソフトなどのサイバー攻撃に対するセキュリティシステムを扱うセキュリティ運用者が、脅威情報を評価する際に適用可能な技術に関する。
 サイバー攻撃活動について攻撃者、攻撃者の行動や手口、脆弱性などに関する脅威情報が日々生成されている。脅威情報が重要な脅威情報であり緊急に対処すべきか否かといった判断を行うために、セキュリティ運用者は継続的・逐次的に脅威情報への評価を行う必要がある。脅威情報とそれに対するセキュリティ運用者の評価はデータベースに蓄積され、必要に応じて検索することができるが、膨大な脅威情報の評価には、セキュリティ運用者のかなりの労力を必要とする。
scikit-learn user guide, Release 0.19.1, インターネット<URL:http://scikit-learn.org/stable/_downloads/scikit-learn-docs.pdf>, 2018年3月2日検索 ハイパーパラメータ自動調整いろいろ, インターネット<URL:https://qiita.com/cvusk/items/1f3b178f34c39beb29ff>, 2018年3月2日検索 ディープラーニングにおける学習のコツとハイパーパラメータのガイドライン, インターネット<URL:https://qiita.com/akimach/items/88356ef46e98f045b035>, 2018年3月2日検索
 上記のように、セキュリティ運用者は脅威情報を評価する必要があるが、脅威情報自体の数が膨大になった場合は評価を行いきれなくなる可能性がある。脅威情報を評価できないということは、サイバー攻撃を防ぎきることができない可能性が生じてしまい、運用対象となっている組織にとって望ましくないことがおこることになる。
 近年、機械学習という技術を利用して、膨大なデータからパターンを抽出し分析・分類・評価する試みが行われている。機械学習によれば、データベースに学習データとなる脅威情報と評価の対を保存し、評価モジュールでパターンを生成し、機械的にそのパターンで評価を行うことができる(非特許文献1~3参照)。
 しかしながら、機械学習には評価モジュールで適切なパターンを生成するためのチューニングが必要となり、セキュリティ運用者がいくつかの脅威情報に対して評価を行った結果を学習データとして評価モジュールに入力する必要がある。すなわち、セキュリティ運用者が脅威情報を、セキュリティ運用者自身で評価する脅威情報と評価モジュールに送信する脅威情報へ割り振る必要がある。すべての脅威情報を評価モジュールへ送信すると、評価モジュールの評価精度がモジュールのパターンの陳腐化により低下してしまう危険性があるため、割り振りは必須である。脅威情報の割り振りには、セキュリティ運用者の労力を必要とする。また、評価対象である脅威情報は日々生成されるという特性があるため、その都度脅威情報の割り振りを行う必要があり、決して無視できない労力を必要としてしまうという問題がある。
 本発明は、脅威情報の割り振りを自動化することにより、セキュリティ運用者の割り振り労力を軽減することを目的とする。
 本発明の一形態に係る脅威情報評価装置は、
 脅威情報の評価を行う脅威情報評価装置であって、
 入力された脅威情報リストの中の脅威情報をセキュリティ運用者又は評価部に割り振る割り振り部と、
 当該評価部に割り振られた脅威情報の評価を行う評価部と、
 を有し、
 前記割り振り部は、前記評価部が行った評価と前記セキュリティ運用者により決定された評価とに基づいて推定精度を算出し、前記推定精度に基づいて割り振りを行うことを特徴とする。
 本発明の一形態に係る脅威情報評価方法は、
 脅威情報の評価を行う評価部を有する脅威情報評価装置における脅威情報評価方法であって、
 前記評価部が行った評価とセキュリティ運用者により決定された評価とに基づいて推定精度を算出するステップと、
 脅威情報リストを入力するステップと、
 前記推定精度に基づいて、前記入力された脅威情報リストの中の脅威情報を、前記セキュリティ運用者又は前記評価部に割り振るステップと、
 を有することを特徴とする。
 本発明の一形態に係るプログラムは、上記の脅威情報評価装置の各部としてコンピュータを機能させることを特徴とする。
 本発明によれば、脅威情報の割り振りを自動化することにより、セキュリティ運用者の割り振り労力を軽減することが可能になる。
本発明の実施例に係る脅威情報評価装置の機能構成を示す図である。 脅威情報の例を示す図である。 脅威情報の評価の例を示す図である。 評価モジュールにおける処理を示すフローチャートである。 混同行列の例を示す図である。 割り振りモジュールにおける処理を示すフローチャートである。 脅威情報評価装置のハードウェア構成例を示す図である。
 以下、図面を参照して本発明の実施例について説明する。
 <脅威情報評価装置の構成>
 図1は、本発明の実施例に係る脅威情報評価装置の機能構成を示す図である。脅威情報評価装置100は、脅威情報の重要度などの脅威情報の評価を行う装置である。脅威情報評価装置100は、割り振りモジュール101と、データベース102と、評価モジュール103とにより構成される。
 割り振りモジュール101は、脅威情報発生元から脅威情報リストを入力として受け取り、脅威情報リストの中の脅威情報をセキュリティ運用者又は評価モジュール103に割り振る処理部である。脅威情報発生元は、セキュリティ運用者の脅威情報の取得先であり、例えば、IPSのシグネチャを開発するベンダ、脅威情報を共有するプラットフォームである。
 図2は、脅威情報の例を示す図である。脅威情報は、サイバー攻撃に関する情報が含まれており、脅威情報の識別子であるID、送信先/宛先のIPアドレス、ポート番号、サイバー攻撃の内容などの内容が含まれている。
 セキュリティ運用者は、脅威情報を受け取り、その評価を行って脅威情報評価先に提供する人物である。脅威情報評価先は、脅威情報とその評価の対の適用先であり、例えば、脅威情報がIPSのシグネチャである場合にはそのIPSそのものが該当する。
 図3は、セキュリティ運用者又は評価モジュール103において行われる評価の例を示す図である。図2に示す脅威情報のそれぞれに対してセキュリティ運用者又は評価モジュール103によって重要度などが決められる。
 初期状態など、評価を行うためのパターンが評価モジュール103において充分にチューニングされていない場合、割り振りモジュール101は、脅威情報をセキュリティ運用者に割り振る。一方、評価を行うためのパターンが評価モジュール103において充分にチューニングされた場合、割り振りモジュール101は、脅威情報を評価モジュール103に割り振ることができるが、パターンの陳腐化を防ぐために一部をセキュリティ運用者に割り振る。
 データベース102は、脅威情報と、セキュリティ運用者が行った評価とを対応付けて保存する記憶媒体である。データベース102に保存された情報は、評価を行うパターンおよびその精度を導出するために用いる。
 評価モジュール103は、当該評価モジュール103に割り振られた脅威情報の評価を行う処理部である。評価モジュール103は、機械学習などによって、評価を行うためのパターンを生成することができる。例えば、評価モジュール103は、データベース102に保存された脅威情報とセキュリティ運用者が行った評価の対に基づきパターンを生成し、そのパターンを使って受け取った脅威情報に対して評価を行う。また、割り振りモジュール101に対して評価を行うパターンの性能を算出するために用いるためのデータ、例えば混同行列の送信も行う。
 割り振りモジュール101は、評価モジュール103が行った評価とセキュリティ運用者により決定された評価とに基づいて推定精度を算出し、推定精度に基づいて割り振りを行う。例えば、割り振りモジュール101は評価モジュール103からの評価の混同行列を受け取り、混同行列に基づいて推定精度を算出し、推定精度に基づいて脅威情報をセキュリティ運用者へ送信するか、評価モジュール103へ送信するかを振り分ける。評価モジュール103へ送信することにより、自動的に脅威情報へ評価を行うことができるため効果が大きくなる。一方、あまりにも評価モジュール103へ送信を行いすぎると評価モジュール103の評価精度が低下してしまう可能性がある。そのため、評価モジュール103のパラメータ調整のためにも適宜セキュリティ運用者に脅威情報を送信する必要がある。
 <評価モジュールにおける処理>
 次に、図4を参照して評価モジュール103における処理の具体例について説明する。
 評価モジュール103は、割り振りモジュール101で割り振られた脅威情報を受け取り(S101)、データベース102からセキュリティ運用者の評価を受け取る(S102)。
 評価モジュール103は、機械学習のハイパーパラメータをデータからチューニングする方法などによって、評価を行うためのパターンを生成することができる(S103)。そして、生成したパターンを用いて脅威情報を評価する。
 評価モジュール103は、評価モジュールが行った評価とセキュリティ運用者により決定された評価とに基づいて混同行列を生成する(S104)。
 図5は、混同行列の例を示す図である。混同行列とは、機械学習の分類器やモデルの性能を評価する際に用いられる行列のことである。性能を測るための定量的指標はいくつか存在するが、およそよく用いられる指標は混同行列の要素から計算することができる。評価が「重要」と「重要ではない」の2種類で、脅威情報の数が全部で2000個、セキュリティ運用者が実際に「重要」としたものが1000個、「重要でない」としたものも1000個の具体例を以下に示す。図5の例では、評価モジュール103は本来1000個を「重要」と評価しなくてはならないところを900個とし、「重要ではない」と評価しなくてはならないところが800個となっている。すなわち、900個+800個が実際に正しく評価できた数に相当し、100個+200個が正しく評価できていない数に相当する。
 なお、混同行列は、n次元に一般化することができる。n次元の混同行列Aを以下に示す。
Figure JPOXMLDOC01-appb-M000001
  i,jはそれぞれ評価を指し示すIDである。nは評価の種類数である。例えば、「重要」、「要ではない」、「そこそこ」のように評価の種類があればn=3となり、混同行列は3×3の行列で表すことができる。ai,jはセキュリティ運用者が評価iとつけたものに対して、評価モジュール103がjと評価した脅威情報の個数を表す。i=jとなるa1,1, a2,2などが実際に正しく評価できた数に相当する。
 図5の混同行列は以下のように表現できる。
Figure JPOXMLDOC01-appb-M000002
  混同行列Aは割り振りモジュール101における処理のため、割り振りモジュール101に送信される。
 <割り振りモジュールにおける処理>
 次に、図6を参照して割り振りモジュール101における処理の具体例について説明する。
 割り振りモジュール101は、脅威情報発生元から脅威情報リストを受け取り(S201)、評価モジュール103から混同行列Aを受け取る(S202)。なお、混同行列AはステップS201で受け取った脅威情報リストよりも以前の脅威情報リストに対して生成されているものとする。
 割り振りモジュール101は、混同行列Aに基づいて推定精度αを算出する(S203)。推定精度αの算出方法は基本的にはセキュリティ運用者のおかれた状況などを加味しながら設定する必要があるが、以下に単純な具体例を示す。推定精度αは、すべての脅威情報の評価のうち、正解率の割合を出すものであり、n次元の混同行列の全成分の和に対する対角成分の和によって求めることができる。
Figure JPOXMLDOC01-appb-M000003
  図4の例では、推定精度αは以下のように算出される。
Figure JPOXMLDOC01-appb-M000004
  割り振りモジュール101は、推定精度αと閾値βを比較し(S204)、α>βである場合、脅威情報リストの中のγ個の脅威情報をセキュリティ運用者に割り振り、残りを評価モジュール103に割り振る(S205)。ここで、β及びγは予め設定されたパラメータである。なお、γ個の脅威情報をセキュリティ運用者と評価モジュール103の両方に割り振ってもよい。
 α≦βである場合、脅威情報リストの中のすべての脅威情報をセキュリティ運用者に割り振る(S206)。
 なお、図6のステップS205では、推定精度αと閾値βとを比較して脅威情報リストの中のγ個の脅威情報をセキュリティ運用者に割り振ることとしているが、複数の閾値を設けてセキュリティ運用者に割り振る個数を決定することも可能である。また、推定精度αが低いほどセキュリティ運用者に割り振る個数を多くするために、例えば、推定精度αに基づいて割り振り比率を算出し、割り振り比率に基づいて脅威情報をセキュリティ運用者に割り振るか、評価モジュール103に割り振るかを決定してもよい。
 <本発明の実施例の効果>
 従来技術における脅威情報の評価では、割り振りモジュール101が存在しないため、セキュリティ運用者が脅威情報発生元からの脅威情報をすべて受け取り、割り振り判断をセキュリティ運用者自身で行う必要がある。割り振りには、評価モジュール103の現時点の推定精度などを加味する必要があり、無視できない労力が発生する。
 一方、本発明の実施例の脅威情報評価装置では、セキュリティ運用者がIPSを提供しているベンダから脅威情報を受信した場合や、セキュリティ運用者がインターネットから脅威情報を取得したときに、割り振りモジュール101が脅威情報を割り振ることができる。推定精度αが閾値βを超えていない場合、すべての脅威情報はセキュリティ運用者へ割り振られる。これは、例えば初期状態など、パターン生成に十分なデータがそろっていない場合に相当する。セキュリティ運用者は脅威情報ごとに評価を付与し、脅威情報とその評価の対は脅威情報評価先へ送信される。それと同時に、脅威情報とその評価の対はデータベース102にコピーされ、評価モジュール103のパターン生成に役立てられる。
 推定精度αが閾値βを超えていれば、γ個の脅威情報はセキュリティ運用者へ割り振られ、残りは評価モジュール103へ割り振られる。評価モジュール103はパターンに従い脅威情報の評価を行う。セキュリティ運用者も受け取った脅威情報の評価を行い、脅威情報とその評価の対を脅威情報評価先へ送信すると共に、データベース102にコピーする。このとき、セキュリティ運用者が評価する脅威情報は、全体のうち一部分だけであるため、セキュリティ運用者の労力が軽減される。
 また、評価モジュール103のパターンの自動化を自動で判別し、すべての脅威情報をセキュリティ運用者が評価するか、一部分のみをセキュリティ運用者が評価するかを動的に切り替えることができる。
 このように、機械学習などによって生成されたパターンの性能を考慮して、脅威情報の割り振りを自動化することができる。結果として、セキュリティ運用者の割り振り労力が不要となり、評価にかかわる労力が軽減される。
 <ハードウェア構成例>
 図7に、本発明の実施例に係る脅威情報評価装置100のハードウェア構成例を示す。脅威情報評価装置100は、CPU(Central Processing Unit)151などのプロセッサ、RAM(Random Access Memory)やROM(Read Only Memory)などのメモリ装置152、ハードディスクなどの記憶装置153、入出力インタフェース装置154などから構成されたコンピュータでもよい。例えば、脅威情報評価装置100の機能および処理は、記憶装置153又はメモリ装置152に格納されているデータやプログラムをCPU151が実行することによって実現される。また、脅威情報評価装置100へのデータの入力は、入出力インタフェース装置154から行われ、脅威情報評価装置100からのデータの出力は、入出力インタフェース装置154から行われてもよい。
 <補足>
 説明の便宜上、本発明の実施例に係る脅威情報評価装置は機能的なブロック図を用いて説明しているが、本発明の実施例に係る脅威情報評価装置は、ハードウェア、ソフトウェア又はそれらの組み合わせで実現されてもよい。例えば、本発明の実施例は、コンピュータに対して本発明の実施例に係る脅威情報評価装置の機能を実現させるプログラム、コンピュータに対して本発明の実施例に係る方法の各手順を実行させるプログラムなどにより、実現されてもよい。また、各機能部が必要に応じて組み合わせて使用されてもよい。また、本発明の実施例に係る方法は、実施例に示す順序と異なる順序で実施されてもよい。
 以上、脅威情報の割り振りを自動化することにより、セキュリティ運用者の割り振り労力を軽減するための手法について説明したが、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々の変更・応用が可能である。
 100 脅威情報評価装置
 101 割り振りモジュール
 102 データベース
 103 評価モジュール
 151 CPU
 152 メモリ装置
 153 記憶装置
 154 入出力インタフェース装置

Claims (6)

  1.  脅威情報の評価を行う脅威情報評価装置であって、
     入力された脅威情報リストの中の脅威情報をセキュリティ運用者又は評価部に割り振る割り振り部と、
     当該評価部に割り振られた脅威情報の評価を行う評価部と、
     を有し、
     前記割り振り部は、前記評価部が行った評価と前記セキュリティ運用者により決定された評価とに基づいて推定精度を算出し、前記推定精度に基づいて割り振りを行う脅威情報評価装置。
  2.  前記評価部は、前記評価部が行った評価と前記セキュリティ運用者により決定された評価とに基づいて混同行列を生成し、当該混同行列を前記割り振り部に送信し、
     前記割り振り部は、前記混同行列に基づいて推定精度を算出する、請求項1に記載の脅威情報評価装置。
  3.  前記評価部は、前記評価部が行った評価と前記セキュリティ運用者により決定された評価との関係を表現したn次元の混同行列を生成し、当該n次元の混同行列を前記割り振り部に送信し、
     前記割り振り部は、当該n次元の混同行列の全成分の和に対する対角成分の和を前記推定精度として算出する、請求項2に記載の脅威情報評価装置。
  4.  前記割り振り部は、前記推定精度が閾値より大きい場合、前記入力された脅威情報リストの中の一部の脅威情報を前記セキュリティ運用者に割り振り、前記推定精度が前記閾値以下である場合、前記入力された脅威情報リストの中のすべての脅威情報を前記セキュリティ運用者に割り振る、請求項1乃至3のうちいずれか1項に記載の脅威情報評価装置。
  5.  脅威情報の評価を行う評価部を有する脅威情報評価装置における脅威情報評価方法であって、
     前記評価部が行った評価とセキュリティ運用者により決定された評価とに基づいて推定精度を算出するステップと、
     脅威情報リストを入力するステップと、
     前記推定精度に基づいて、前記入力された脅威情報リストの中の脅威情報を、前記セキュリティ運用者又は前記評価部に割り振るステップと、
     を有する脅威情報評価方法。
  6.  請求項1乃至4のうちいずれか1項に記載の脅威情報評価装置の各部としてコンピュータを機能させるためのプログラム。
PCT/JP2019/012498 2018-03-27 2019-03-25 脅威情報評価装置、脅威情報評価方法およびプログラム WO2019188975A1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US17/041,589 US11416610B2 (en) 2018-03-27 2019-03-25 Threat information evaluation apparatus, threat information evaluation method and program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018060577A JP6710716B2 (ja) 2018-03-27 2018-03-27 脅威情報評価装置、脅威情報評価方法およびプログラム
JP2018-060577 2018-03-27

Publications (1)

Publication Number Publication Date
WO2019188975A1 true WO2019188975A1 (ja) 2019-10-03

Family

ID=68060018

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/012498 WO2019188975A1 (ja) 2018-03-27 2019-03-25 脅威情報評価装置、脅威情報評価方法およびプログラム

Country Status (3)

Country Link
US (1) US11416610B2 (ja)
JP (1) JP6710716B2 (ja)
WO (1) WO2019188975A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008129714A (ja) * 2006-11-17 2008-06-05 Univ Of Tsukuba 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法
US20180046938A1 (en) * 2016-08-11 2018-02-15 International Business Machines Corporation System and method for ground truth evaluation

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8762188B2 (en) * 2008-05-12 2014-06-24 Ut-Battelle, Llc Cyberspace security system
US8832832B1 (en) * 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9805338B1 (en) * 2017-03-03 2017-10-31 Shogun Enterprises Inc. Database system and user interfaces for matching related entities
DE102018216887A1 (de) * 2018-10-02 2020-04-02 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Automatisches Abschätzen von Informationssicherheitsrisiken

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008129714A (ja) * 2006-11-17 2008-06-05 Univ Of Tsukuba 異常検知方法、異常検知装置及び異常検知用プログラム並びに学習モデル生成方法
US20180046938A1 (en) * 2016-08-11 2018-02-15 International Business Machines Corporation System and method for ground truth evaluation

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
BOZORGI, M. ET AL.: "Beyond Heuristics: Learning to Classify Vulnerbilities and Predict Exploits", PROCEEDINGS OF THE 16TH ACM SIGKDD INTERNATIONAL CONFERENCE ON KNOWLEDGE DISCOVERY AND DATA, 25 July 2010 (2010-07-25), pages 105 - 114, XP058270568 *
YAMAMOTO, YASUHIRO ET AL.: "Estimation of Vulnerability Score based on Annual Analysis with Supervised Latent Dirichlet Allocation", IEICE TECHNICAL REPORT, vol. 114, no. 489, 24 February 2015 (2015-02-24), pages 97 - 102 *

Also Published As

Publication number Publication date
US11416610B2 (en) 2022-08-16
JP6710716B2 (ja) 2020-06-17
US20210019405A1 (en) 2021-01-21
JP2019174988A (ja) 2019-10-10

Similar Documents

Publication Publication Date Title
AU2018212470B2 (en) Continuous learning for intrusion detection
US10860720B2 (en) Static anomaly-based detection of malware files
EP3776307B1 (en) Distributed system for adaptive protection against web-service-targeted vulnerability scanners
EP3360043A2 (en) Assessing effectiveness of cybersecurity technologies
US20160182553A1 (en) Auto-tuning program analysis tools based on user feedback
US11288376B2 (en) Identifying hard-coded secret vulnerability inside application source code
WO2016044359A1 (en) Lateral movement detection
US9558346B1 (en) Information processing systems with security-related feedback
US20190065743A1 (en) Classification method, classification device, and classification program
US20210160260A1 (en) Automatic Categorization Of IDPS Signatures From Multiple Different IDPS Systems
US20160197943A1 (en) System and Method for Profiling System Attacker
US20130305321A1 (en) Methods for confirming user interaction in response to a request for a computer provided service and devices thereof
US20210120014A1 (en) User impact potential for security alert management
US11023590B2 (en) Security testing tool using crowd-sourced data
US10965693B2 (en) Method and system for detecting movement of malware and other potential threats
US11321453B2 (en) Method and system for detecting and classifying malware based on families
Safarzadeh et al. A novel and comprehensive evaluation methodology for SIEM
US11005869B2 (en) Method for analyzing cyber threat intelligence data and apparatus thereof
WO2019188975A1 (ja) 脅威情報評価装置、脅威情報評価方法およびプログラム
CA3182496A1 (en) Identifying a phishing attempt
US11899793B2 (en) Information processing apparatus, control method, and program
JP7302668B2 (ja) レベル推定装置、レベル推定方法、および、レベル推定プログラム
CN114697110A (zh) 一种网络攻击检测方法、装置、设备及存储介质
Grabusts et al. Ontology-Based Risk Analysis System Concept
CN114637993A (zh) 恶意代码包的检测方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19776890

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19776890

Country of ref document: EP

Kind code of ref document: A1