WO2019225251A1 - 学習方法、学習装置及び学習プログラム - Google Patents

学習方法、学習装置及び学習プログラム Download PDF

Info

Publication number
WO2019225251A1
WO2019225251A1 PCT/JP2019/016903 JP2019016903W WO2019225251A1 WO 2019225251 A1 WO2019225251 A1 WO 2019225251A1 JP 2019016903 W JP2019016903 W JP 2019016903W WO 2019225251 A1 WO2019225251 A1 WO 2019225251A1
Authority
WO
WIPO (PCT)
Prior art keywords
request
learning
profile
analysis
requests
Prior art date
Application number
PCT/JP2019/016903
Other languages
English (en)
French (fr)
Inventor
慎吾 折原
楊 鐘本
悠太 岩城
国雄 宮本
祐一 村田
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to JP2020521115A priority Critical patent/JP6935849B2/ja
Priority to US17/056,434 priority patent/US20210209504A1/en
Publication of WO2019225251A1 publication Critical patent/WO2019225251A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Definitions

  • the present invention relates to a learning method, a learning device, and a learning program.
  • IDS Intrusion Detection System
  • IPS Intrusion Prevention System
  • WAF Web Application Firewall
  • a profile is learned using features extracted from a predetermined value included in a request to a normal Web server, and the analysis target request is caused by an attack using the profile.
  • a technique for determining whether or not there is known (see, for example, Patent Document 1).
  • the conventional technique has a problem that learning of a profile for detecting an attack may be insufficient.
  • the technique described in Cited Document 1 when a change that adds a path or a parameter to a Web application provided by a server is made, learning following the change cannot be performed immediately, and learning is insufficient. The analysis will be done with the profile.
  • the learning method of the present invention is a learning method executed by a computer, and includes a generation step of generating a character class string abstracting a structure of a predetermined character string included in a request to a server, A storing step of storing, as a profile, the predetermined identification information included in the learning request and the appearance frequency for each combination of the character class strings, and the identification information and the character class included in the analysis request among the requests A combination of columns is compared with the profile, a detection step for detecting an abnormality, a selection step for selecting at least a part of the analysis request, and the profile is updated based on the request selected by the selection step. And an update process.
  • FIG. 1 is a diagram illustrating an example of a configuration of a learning device according to the first embodiment.
  • FIG. 2 is a diagram for explaining the learning process and the detection process according to the first embodiment.
  • FIG. 3 is a diagram for explaining the sequential learning process according to the first embodiment.
  • FIG. 4 is a diagram for explaining the sequential learning process according to the first embodiment.
  • FIG. 5 is a diagram illustrating an example of a profile according to the first embodiment.
  • FIG. 6 is a diagram for explaining processing for generating a character class string according to the first embodiment.
  • FIG. 7 is a diagram for explaining processing for updating a profile according to the first embodiment.
  • FIG. 8 is a flowchart showing a flow of processing of the learning device according to the first embodiment.
  • FIG. 9 is a diagram illustrating an example of a configuration of a learning device according to the second embodiment.
  • FIG. 10 is a diagram for explaining the sequential learning process according to the second embodiment.
  • FIG. 11 is a diagram illustrating an example of a computer that executes a learning program according to the embodiment.
  • FIG. 1 is a diagram illustrating an example of a configuration of a learning device according to the first embodiment.
  • the learning device 10 learns the profile 14 for determining whether the request is an attack based on the similarity to the request to the server.
  • the learning device 10 uses the profile 14 to detect a request that is an attack.
  • the learning device 10 includes an input unit 11 and a control unit 12 and stores a detection result 13 and a profile 14.
  • the input unit 11 receives input of data for learning or analysis in the learning device 10.
  • the input unit 11 includes an analysis target data input unit 111 and a learning data input unit 112.
  • the analysis target data input unit 111 receives input of the analysis target data 201.
  • the learning data input unit 112 accepts input of learning data 202.
  • the analysis target data 201 and the learning data 202 are, for example, HTTP requests generated when accessing a website. Further, the learning data 202 may be an HTTP request in which it is known in advance whether or not it is an attack.
  • the control unit 12 includes a generation unit 121, a detection unit 124, a storage unit 125, and a selection unit 128.
  • the generation unit 121 includes an extraction unit 122 and a conversion unit 123.
  • the control unit 12 includes analyzed data 127 and attack pattern information 129.
  • the generation unit 121 generates a character class string that abstracts the structure of a predetermined character string included in the request to the server.
  • the request to the server is an HTTP request.
  • an HTTP request is included.
  • the generation unit 121 generates a character class string by the processing of the extraction unit 122 and the conversion unit 123.
  • the extraction unit 122 extracts parameters from the analysis target data 201 and the learning data 202 input to the input unit 11. Specifically, the extraction unit 122 extracts a path, a parameter key, and a value corresponding to the key from each HTTP request.
  • the extraction unit 122 sets “/index.php” as the path. Then, “id” and “file” are extracted as keys, and “03” and “Top001.png” are extracted as values corresponding to the keys.
  • the conversion unit 123 converts the value extracted by the extraction unit 122 into a character class string. For example, the conversion unit 123 converts “03” and “Top001.png”, which are values extracted by the extraction unit 122, into character class strings.
  • the conversion unit 123 replaces a part composed of numeric values with “numeric”, a part composed of alphabets with “alpha”, and a part composed of symbols with “symbol”. Perform conversion. For example, the conversion unit 123 converts the value “03” into the character class string “(numeric)”. Further, the conversion unit 123 converts the value “Top001.png” into the character class string “(alpha, numeric, symbol, alpha)”, for example.
  • the detecting unit 124 compares the predetermined identification information and the character class string combination included in the analysis request among the requests with the profile 14 to detect an abnormality.
  • the predetermined identification information is a combination of a path and a key extracted by the extraction unit 122.
  • the detection unit 124 calculates the similarity between the path, key, and character class string received from the conversion unit 123 and the profile 14 and compares the calculated similarity with a threshold value. Perform detection. For example, the detection unit 124 detects the analysis target data 201 as an attack when the similarity between the path, key, and character class string of the analysis target data 201 and the profile 14 is equal to or less than a threshold. Further, the detection unit 124 outputs the detection result 13.
  • the storage unit 125 stores the appearance frequency for each combination of the predetermined identification information and the character class string included in the learning request among the requests as the profile 14. Specifically, the storage unit 125 stores the path, key, and character class string received from the conversion unit 123 as the profile 14. At this time, when there are a plurality of character class strings corresponding to the path and the key, for example, the plurality of character class strings are stored as the profile 14 together with the appearance frequency.
  • FIG. 2 is a diagram for explaining the learning process and the detection process according to the first embodiment.
  • the conversion unit 123 converts the values “Img.jpg”, “Test.png”, and “Top001.png” into the character class strings “(alpha, symbol, alpha)”, “ (alpha, symbol, alpha) "and” (alpha, numeric, symbol, alpha) ".
  • alpha is the whole alphabet
  • numeric is the whole number
  • symbol is the whole symbol
  • space is a character class that represents a space character.
  • the character class definition is given in advance, and character classes other than the alpha, numeric, symbol, and space illustrated here may be defined.
  • the detection unit 124 uses the character class strings “(alpha, numeric, symbol, alpha)” and “(alpha, symbol, numeric, symbol, alpha, symbol, space, alpha, space, symbol from the analysis target data 201. , “Numeric, symbol, numeric”), the degree of similarity between the data and the profile 14 combined with the path and key combination is detected, and the attack is detected.
  • the storage unit 125 stores the URL path, key, and character class string combination included in the learning data 202 in the profile 14 together with their appearance frequencies. For example, the storage unit 125 stores (alpha, symbol, alpha) appearance frequency 2 and (alpha, numeric, symbol, alpha) appearance frequency 1 in the profile 14 together with the corresponding path and key.
  • the profile 14 is stored by the storage unit 125 and then updated by the update unit 126.
  • the update unit 126 updates the profile 14 using at least a part of the analysis target data 201 used for detection by the detection unit 124.
  • the analysis target data 201 used for updating the profile 14 is selected by the selection unit 128.
  • the updating of the profile 14 by the updating unit 126 may be referred to as sequential learning.
  • the selection unit 128 selects at least a part of the analysis request. Specifically, the selection unit 128 may select all or some of the analysis target data 201 used for detection by the detection unit 124.
  • the analyzed data 127 is the analysis target data 201 used for detection by the detection unit 124. Further, the selection unit 128 inputs the selected analyzed data 127 to the learning data input unit 112.
  • the selection unit 128 can select the analysis target data 201 using any method.
  • a method of selecting using a detection result and a method of selecting using an attack pattern will be described.
  • FIG. 3 is a diagram for explaining the sequential learning process according to the first embodiment.
  • the selection unit 128 selects a request whose degree of abnormality is a predetermined value or less from among the requests for analysis.
  • the detection unit 124 calculates a score indicating the degree of abnormality of each request at the time of detection.
  • the score is in the range of 0.0 to 1.0, and the smaller the score, the greater the degree of request abnormality.
  • the detection unit 124 includes a request having a score of 0.3 or less in the detection result 13. That is, the detection result 13 includes a request that is regarded as having a high degree of abnormality.
  • the selection unit 128 compares the analyzed data 127 and the detection result 13 and excludes those that match. That is, the selection unit 128 selects the analyzed data 127 that is not included in the detection result 13.
  • the selection unit 128 may exclude the analyzed data 127 whose detection result 13 score is less than a certain threshold. By doing so, only data that is more strongly suspected of being attacked can be excluded from sequential learning.
  • FIG. 4 is a diagram for explaining the sequential learning process according to the first embodiment.
  • the selection unit 128 selects a request that does not match a predetermined pattern set in advance from the analysis requests.
  • the attack pattern information 129 stores a regular expression of a character string appearing in a request for each known attack type as an attack pattern.
  • the selection unit 128 excludes requests for the analyzed data 127 that match the attack pattern information 129. That is, the selection unit 128 selects the analyzed data 127 that does not match the attack pattern information 129.
  • the attack pattern information 129 may be a typical attack example created by referring to information on the Web or a signature of a commercially available WAF (Web Application Firewall), or created based on the detection result 13. May be.
  • the update unit 126 updates the profile 14 based on the request selected by the selection unit 128.
  • the update of the profile 14 in the sequential learning is performed using the character class string generated from the request, similarly to the saving of the profile 14.
  • FIG. 5 is a diagram illustrating an example of a profile according to the first embodiment.
  • FIG. 6 is a diagram for explaining processing for generating a character class string according to the first embodiment.
  • FIG. 7 is a diagram for explaining processing for updating a profile according to the first embodiment.
  • the profile 14 includes a path, a key, a character class string, and an appearance frequency.
  • each line of the profile 14, that is, a combination of a path, a key, and a character class column is referred to as a field.
  • the appearance frequency of the profile 14 is the appearance frequency of each field in the learning process. For example, in the learning process of FIG. 2, the appearance frequency of the field having the path “/index.php”, the key “file”, and the character class string “(alpha, symbol, alpha)” increases.
  • the generation unit 121 parses the HTTP request of the analyzed data 127 selected by the selection unit 128 and input to the learning data input unit 112 into a pass, a key, and a value. Is generated.
  • the update unit 126 increases the appearance frequency of the field that matches the combination of the path, key, and character class string generated by the generation unit 121 by the number of the combinations. Further, when a field that matches the combination of the path, key, and character class string generated by the generation unit 121 does not exist in the profile 14, the update unit 126 adds the combination to the profile 14 as a new field.
  • FIG. 8 is a flowchart showing a flow of processing of the learning device according to the first embodiment.
  • the learning device 10 first generates a character class string from the analysis target data 201 (step S101).
  • the learning device 10 detects an abnormality using the profile 14 based on the generated character class string (step S102).
  • the learning device 10 analyzes and selects at least a part of the analyzed data 127 used for detection (step S103). Then, the learning device 10 updates the profile 14 using the selected analyzed data 127 (step S104).
  • the learning device 10 generates a character class string that abstracts the structure of a predetermined character string included in the request to the server. Further, the learning device 10 stores the appearance frequency for each combination of the predetermined identification information and the character class string included in the request for learning among the requests as the profile 14. Further, the learning device 10 compares the combination of predetermined identification information and the character class string included in the analysis request among the requests with the profile 14 to detect an abnormality. Further, the learning apparatus 10 selects at least a part of the analysis request. Moreover, the learning apparatus 10 updates the profile 14 based on the selected request.
  • Learning device 10 can select a request whose degree of abnormality is not more than a predetermined value from among the requests for analysis based on the detection result. Thereby, analysis data that is suspected of being abnormal can be excluded from the target of sequential learning, so that abnormal data can be prevented from being learned as normal.
  • the selection unit 128 can select a request that does not match a predetermined pattern set in advance from among the requests for analysis. As a result, analysis data that is known to be abnormal can be excluded from the target of sequential learning, so that abnormal data can be prevented from being learned as normal.
  • the learning device 10 can sequentially learn data from the analyzed data 127 based on a predetermined rule. Was selected.
  • the learning device 10 selects the analyzed data 127 having unlearned parameters as a target for sequential learning.
  • FIG. 9 is a diagram illustrating an example of the configuration of the learning device according to the second embodiment. As shown in FIG. 9, in the second embodiment, the learning device 10 has unlearned parameter information 130. Note that in the second embodiment, the same components as those in the first embodiment are denoted by the same reference numerals, and description thereof is omitted.
  • the unlearned parameter information 130 is identification information that is not included in the profile 14, and is generated, for example, when the detection unit 124 compares the analysis target data after conversion with the profile.
  • the identification information is a combination of a request path and a key.
  • the detection unit 124 can add, to the unlearned parameter information 130, combinations that are not included in the profile 14 among the combinations of the path and key of the request to be analyzed. .
  • the selection unit 128 selects a request whose identification information is not included in the profile 14 among the requests for analysis. Thereby, the profile 14 can be updated efficiently.
  • the selection unit 128 selects data whose identification information matches the unlearned parameter information 130 from the analyzed data 127.
  • FIG. 10 is a diagram for explaining the sequential learning process according to the second embodiment.
  • the selection unit 128 may immediately select data whose identification information matches the unlearned parameter information 130, or select the unlearned parameter information 130 whose number of matches over a certain period exceeds a certain threshold. You may make it refer in the case of. Thereby, for example, an unlearned parameter temporarily generated due to a user input error or the like can be ignored.
  • the profile 14 is represented in a table format.
  • the data storage format of the profile 14 includes a JSON (JavaScript (registered trademark) Object Notation) format or a database such as MySQL or PostgreSQL. May be used and stored.
  • the analysis target data 201, the learning data 202, and the analyzed data 127 are all data including a plurality of HTTP requests. For example, even the JSON format data obtained by parsing or converting the access log or access log of the Web server. Good.
  • the method of selecting data to be sequentially learned by the selection unit 128 described above may be used alone or in appropriate combination.
  • the selection unit 128 can select a request whose degree of abnormality is not more than a predetermined value and does not match the attack pattern information 129.
  • the selection unit 128 can select a request that does not match the attack pattern information 129 and matches the unlearned parameter information 130.
  • the learning apparatus 10 can be implemented by installing a learning program for performing the above learning as package software or online software on a desired computer.
  • the information processing apparatus can function as the learning apparatus 10 by causing the information processing apparatus to execute the learning program.
  • the information processing apparatus referred to here includes a desktop or notebook personal computer.
  • the information processing apparatus includes mobile communication terminals such as smartphones, mobile phones and PHS (Personal Handyphone System), and slate terminals such as PDA (Personal Digital Assistant).
  • the learning device 10 can also be implemented as a learning server device that uses the terminal device used by the user as a client and provides the client with the above-described services related to learning.
  • the learning server device is implemented as a server device that provides a learning service that receives a pre-update profile and an HTTP request to be analyzed and outputs an updated profile.
  • the learning server device may be implemented as a Web server, or may be implemented as a cloud that provides a service related to the above learning through outsourcing.
  • FIG. 11 is a diagram illustrating an example of a computer that executes a learning program according to the embodiment.
  • the computer 1000 includes a memory 1010 and a CPU 1020, for example.
  • the computer 1000 also includes a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These units are connected by a bus 1080.
  • the memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012.
  • the ROM 1011 stores a boot program such as BIOS (Basic Input Output System).
  • BIOS Basic Input Output System
  • the hard disk drive interface 1030 is connected to the hard disk drive 1090.
  • the disk drive interface 1040 is connected to the disk drive 1100.
  • a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100.
  • the serial port interface 1050 is connected to a mouse 1110 and a keyboard 1120, for example.
  • the video adapter 1060 is connected to the display 1130, for example.
  • the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. That is, a program that defines each process of the learning device 10 is implemented as a program module 1093 in which a code executable by a computer is described.
  • the program module 1093 is stored in the hard disk drive 1090, for example.
  • a program module 1093 for executing processing similar to the functional configuration in the learning device 10 is stored in the hard disk drive 1090.
  • the hard disk drive 1090 may be replaced by an SSD.
  • the setting data used in the processing of the above-described embodiment is stored as the program data 1094 in, for example, the memory 1010 or the hard disk drive 1090. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1090 to the RAM 1012 as necessary, and executes them.
  • the program module 1093 and the program data 1094 are not limited to being stored in the hard disk drive 1090, but may be stored in, for example, a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and the program data 1094 may be stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.). The program module 1093 and the program data 1094 may be read by the CPU 1020 from another computer via the network interface 1070.
  • LAN Local Area Network
  • WAN Wide Area Network

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

学習装置(10)は、サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する。また、学習装置(10)は、リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせごとの出現頻度をプロファイル(14)として保存する。また、学習装置(10)は、リクエストのうち、分析用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせをプロファイル(14)と照合し、異常を検知する。また、学習装置(10)は、分析用のリクエストの少なくとも一部を選択する。また、学習装置(10)は、選択されたリクエストを基にプロファイル(14)を更新する。

Description

学習方法、学習装置及び学習プログラム
 本発明は、学習方法、学習装置及び学習プログラムに関する。
 インターネットの普及に伴い、Webサーバに対する攻撃が急増している。攻撃の対策としてIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)等が知られている。これらの技術では、ブラックリストやシグネチャファイルを用いたパターンで検出を行い、既知の攻撃の検知及び防御を行う。
 また、未知の攻撃の検出技術として、正常なWebサーバへのリクエストに含まれる所定の値から抽出した特徴を用いてプロファイルの学習を行い、当該プロファイルを用いて分析対象のリクエストが攻撃によるものであるか否かを判定する技術が知られている(例えば、特許文献1を参照)。
国際公開第2015/186662号
 しかしながら、従来の技術には、攻撃を検知するためのプロファイルの学習が不十分になる場合があるという問題がある。例えば、引用文献1に記載の技術では、サーバが提供するWebアプリケーションにパスやパラメータを追加する変更が行われた場合、変更に追随した学習をすぐに行うことができず、学習が不十分のプロファイルで分析を行うことになる。
 本発明の学習方法は、コンピュータによって実行される学習方法であって、サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成工程と、前記リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとの出現頻度をプロファイルとして保存する保存工程と、前記リクエストのうち、分析用のリクエストに含まれる前記識別情報及び前記文字クラス列の組み合わせを前記プロファイルと照合し、異常を検知する検知工程と、前記分析用のリクエストの少なくとも一部を選択する選択工程と、前記選択工程によって選択されたリクエストを基に前記プロファイルを更新する更新工程と、を含むことを特徴とする。
 本発明によれば、攻撃を検知するためのプロファイルの学習を十分に行うことができる。
図1は、第1の実施形態に係る学習装置の構成の一例を示す図である。 図2は、第1の実施形態に係る学習処理及び検知処理について説明するための図である。 図3は、第1の実施形態に係る逐次学習処理について説明するための図である。 図4は、第1の実施形態に係る逐次学習処理について説明するための図である。 図5は、第1の実施形態に係るプロファイルの一例を示す図である。 図6は、第1の実施形態に係る文字クラス列を生成する処理について説明するための図である。 図7は、第1の実施形態に係るプロファイルを更新する処理について説明するための図である。 図8は、第1の実施形態に係る学習装置の処理の流れを示すフローチャートである。 図9は、第2の実施形態に係る学習装置の構成の一例を示す図である。 図10は、第2の実施形態に係る逐次学習処理について説明するための図である。 図11は、実施形態に係る学習プログラムを実行するコンピュータの一例を示す図である。
 以下に、本願に係る学習方法、学習装置及び学習プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
 まず、図1を用いて、第1の実施形態に係る学習装置の構成について説明する。図1は、第1の実施形態に係る学習装置の構成の一例を示す図である。学習装置10は、サーバへのリクエストとの類似度に基づき、当該リクエストが攻撃であるか否かを判定するためのプロファイル14の学習を行う。また、学習装置10は、プロファイル14を用いて攻撃であるリクエストの検知を行う。図1に示すように、学習装置10は、入力部11及び制御部12を有し、検知結果13及びプロファイル14を記憶する。
 入力部11は、学習装置10における学習又は分析のためのデータの入力を受け付ける。入力部11は、分析対象データ入力部111及び学習データ入力部112を有する。分析対象データ入力部111は、分析対象データ201の入力を受け付ける。また、学習データ入力部112は、学習データ202の入力を受け付ける。
 ここで、分析対象データ201及び学習データ202は、例えば、Webサイトへのアクセスの際に生成されるHTTPリクエストである。また、学習データ202は、攻撃であるか否かがあらかじめ判明しているHTTPリクエストであってもよい。
 制御部12は、生成部121、検知部124、保存部125及び選択部128を有する。また、生成部121は、抽出部122及び変換部123を有する。また、制御部12は、分析済みデータ127及び攻撃パターン情報129を有する。
 生成部121は、サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する。ここで、サーバへのリクエストは、HTTPリクエストであるものとする。以降、単にリクエストと記載した場合、HTTPリクエストが含まれるものとする。生成部121は、抽出部122及び変換部123の処理によって文字クラス列を生成する。
 抽出部122は、入力部11に入力された分析対象データ201及び学習データ202からパラメータを抽出する。具体的には、抽出部122は、各HTTPリクエストから、パス、パラメータのキー及びキーに対応するバリューを抽出する。
 例えば、学習データ202に「http://example.com/index.php?id=03&file=Top001.png」というURLが含まれている場合、抽出部122は、パスとして「/index.php」を抽出し、キーとして「id」及び「file」を抽出し、それぞれのキーに対応するバリューとして、「03」及び「Top001.png」を抽出する。
 また、変換部123は、抽出部122によって抽出されたバリューを文字クラス列に変換する。例えば、変換部123は、抽出部122によって抽出されたバリューである「03」及び「Top001.png」を文字クラス列に変換する。
 変換部123は、例えば、バリューの数字で構成される部分を「numeric」、アルファベットで構成される部分を「alpha」、記号で構成される部分を「symbol」に置き換えることで文字クラス列への変換を行う。変換部123は、例えば、バリュー「03」を文字クラス列「(numeric)」に変換する。また、変換部123は、例えば、バリュー「Top001.png」を文字クラス列「(alpha, numeric, symbol, alpha)」に変換する。
 検知部124は、リクエストのうち、分析用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせをプロファイル14と照合し、異常を検知する。また、本実施形態において、所定の識別情報は、抽出部122によって抽出されたパス及びキーの組み合わせである。
 具体的には、検知部124は、変換部123等から受け取ったパス、キー及び文字クラス列と、プロファイル14との類似度を計算し、計算した類似度を閾値と比較すること等により攻撃の検知を行う。例えば、検知部124は、ある分析対象データ201のパス、キー及び文字クラス列と、プロファイル14との類似度が閾値以下である場合、当該分析対象データ201を攻撃として検知する。また、検知部124は、検知結果13を出力する。
 保存部125は、リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせごとの出現頻度をプロファイル14として保存する。具体的には、保存部125は、変換部123から受け取ったパス、キー及び文字クラス列をプロファイル14として保存する。この時、パス及びキーに対応する文字クラス列が複数ある場合、例えば当該複数の文字クラス列を出現頻度とともにプロファイル14として保存する。
 ここで、図2を用いて、学習装置10によって行われる学習処理及び検知処理について説明する。図2は、第1の実施形態に係る学習処理及び検知処理について説明するための図である。
 まず、学習データ202には、URL「http://example.com/index.php?file=Img.jpg」、「http://example.com/index.php?file=Test.png」及び「http://example.com/index.php?file=Top001.png」が含まれているとする。また、分析対象データ201には、URL「http://example.com/index.php?file=Test011.jpg」及び「http://example.com/index.php?file=Test_011.jpg' or '1'='1」が含まれているとする。
 このとき、抽出部122は、学習データ202から、バリュー「Img.jpg」、「Test.png」及び「Top001.png」を抽出する。また、抽出部122は、分析対象データ201から、バリュー「Test011.jpg」及び「Test_011.jpg' or '1'='1」を抽出する。
 次に、図2に示すように、変換部123は、バリュー「Img.jpg」、「Test.png」及び「Top001.png」をそれぞれ、文字クラス列「(alpha, symbol, alpha)」、「(alpha, symbol, alpha)」及び「(alpha, numeric, symbol, alpha)」に変換する。
 また、変換部123は、バリュー「Test011.jpg」及び「Test_011.jpg' or '1'='1」を、それぞれ文字クラス列「(alpha, numeric, symbol, alpha)」及び「(alpha, symbol, numeric, symbol, alpha, symbol, space, alpha, space, symbol, numeric, symbol, numeric)」に変換する。
 ここで、alphaは英字全体を、numericは数字全体を、symbolは記号全体を、spaceは空白文字を表す文字クラスであるとする。文字クラスの定義はあらかじめ与えられているものとし、ここで例示したalpha、numeric、symbol、space以外の文字クラスが定義されていてもよい。
 次に、検知部124は、分析対象データ201からの文字クラス列「(alpha, numeric, symbol, alpha)」及び「(alpha, symbol, numeric, symbol, alpha, symbol, space, alpha, space, symbol, numeric, symbol, numeric)」に対応するパスとキーを組み合わせたデータとプロファイル14との類似度を計算し、攻撃の検知を行う。
 また、保存部125は、学習データ202に含まれるURLのパス、キー及び文字クラス列の組み合わせを、それぞれの出現頻度とともにプロファイル14に保存する。例えば、保存部125は、(alpha, symbol, alpha) 出現頻度2、(alpha, numeric, symbol, alpha) 出現頻度1を、対応するパス及びキーとともにプロファイル14に保存する。
 ここまで、学習処理及び検知処理について説明した。本実施形態において、プロファイル14は、保存部125によって保存された後、さらに更新部126によって更新される。このとき、更新部126は、検知部124による検知に用いられた分析対象データ201の少なくとも一部を用いてプロファイル14の更新を行う。その際、プロファイル14の更新に用いられる分析対象データ201は、選択部128によって選択される。なお、以降の説明では、更新部126によるプロファイル14の更新を、逐次学習と呼ぶ場合がある。
 選択部128は、分析用のリクエストの少なくとも一部を選択する。具体的には、選択部128は、検知部124による検知に用いられた分析対象データ201の全てを選択してもよいし、一部を選択してもよい。また、分析済みデータ127は、検知部124による検知に用いられた分析対象データ201である。また、選択部128は、選択した分析済みデータ127を学習データ入力部112に入力する。
 選択部128は、任意の方法を用いて分析対象データ201を選択することができる。ここでは、例として、検知の結果を用いて選択する方法及び攻撃パターンを用いて選択する方法について説明する。
 (検知の結果を用いて選択する方法)
 まず、図3を用いて、検知の結果を用いて選択する方法について説明する。図3は、第1の実施形態に係る逐次学習処理について説明するための図である。この場合、選択部128は、検知部124による検知の結果を基に、分析用のリクエストのうち異常の度合いが所定値以下であるリクエストを選択する。
 ここで、検知部124は、検知の際に、各リクエストの異常度合いを示すスコアを算出するものとする。スコアは、0.0~1.0の範囲であり、小さいほどリクエストの異常の度合いが大きいことを示すものとする。検知部124は、スコアが0.3以下であったリクエストを、検知結果13に含めるものとする。つまり、検知結果13には、異常の度合いが高いとみなされたリクエストが含まれることになる。
 図3の例では、検知部124は、分析済みデータ127のHTTPリクエスト「GET /index.php?id=%27%201%3D1」のスコアを0.0と算出している。ここで、選択部128は、分析済みデータ127と検知結果13とを比較し、一致するものは除外する。つまり、選択部128は、分析済みデータ127のうち、検知結果13に含まれていないものを選択する。
 なお、選択部128は、分析済みデータ127のうち、検知結果13のスコアがある閾値未満のものを除外してもよい。こうすることで、より強く攻撃が疑われるデータのみを逐次学習の対象外とすることができる。
 (攻撃パターンを用いて選択する方法)
 次に、図4を用いて、攻撃パターンを用いて選択する方法について説明する。図4は、第1の実施形態に係る逐次学習処理について説明するための図である。この場合、選択部128は、分析用のリクエストのうち、あらかじめ設定された所定のパターンに合致しないリクエストを選択する。
 図4の例では、攻撃パターン情報129があらかじめ設定されているものとする。攻撃パターン情報129には、既知の攻撃の種類ごとの、リクエストに出現する文字列の正規表現が攻撃パターンとして記憶されている。選択部128は、分析済みデータ127のリクエストのうち、攻撃パターン情報129にマッチするものを除外する。つまり、選択部128は、分析済みデータ127のうち、攻撃パターン情報129にマッチしないものを選択する。
 なお、攻撃パターン情報129は、Web上の情報や市販WAF(Web Application Firewall)のシグネチャを参考として作成した代表的な攻撃例であってもよいし、検知結果13を基に作成したものであってもよい。
 更新部126は、選択部128によって選択されたリクエストを基にプロファイル14を更新する。逐次学習におけるプロファイル14の更新は、プロファイル14の保存と同様に、リクエストから生成した文字クラス列を用いて行われる。
 ここで、図5から7を用いて、プロファイルの更新について説明する。図5は、第1の実施形態に係るプロファイルの一例を示す図である。図6は、第1の実施形態に係る文字クラス列を生成する処理について説明するための図である。図7は、第1の実施形態に係るプロファイルを更新する処理について説明するための図である。
 まず、図5に示すように、プロファイル14には、パス、キー、文字クラス列及び出現頻度が含まれる。ここで、プロファイル14の各行、すなわちパス、キー、文字クラス列の組み合わせをフィールドと呼ぶこととする。プロファイル14の出現頻度は、学習処理における、各フィールドの出現頻度である。例えば、図2の学習処理では、パスが「/index.php」、キーが「file」、文字クラス列が「(alpha, symbol, alpha)」であるフィールドの出現頻度が増加する。
 図6に示すように、生成部121は、選択部128によって選択され、学習データ入力部112に入力された分析済みデータ127のHTTPリクエストをパス、キー、バリューにパースし、バリューから文字クラス列を生成する。
 そして、図7に示すように、更新部126は、生成部121によって生成されたパス、キー、文字クラス列の組み合わせと一致するフィールドの出現頻度を、当該組み合わせの個数の分だけ増加させる。また、更新部126は、生成部121によって生成されたパス、キー、文字クラス列の組み合わせと一致するフィールドがプロファイル14に存在しない場合、当該組み合わせを新たなフィールドとしてプロファイル14に追加する。
[第1の実施形態の処理]
 図8を用いて、学習装置10の処理の流れについて説明する。図8は、第1の実施形態に係る学習装置の処理の流れを示すフローチャートである。図8に示すように、まず、学習装置10は、分析対象データ201から文字クラス列を生成する(ステップS101)。次に、学習装置10は、生成した文字クラス列を基に、プロファイル14を用いて異常の検知を行う(ステップS102)。
 その後、学習装置10は、検知に用いた分析済みデータ127の少なくとも一部を、分析選択する(ステップS103)。そして、学習装置10は、選択した分析済みデータ127を用いてプロファイル14を更新する(ステップS104)。
[第1の実施形態の効果]
 学習装置10は、サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する。また、学習装置10は、リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせごとの出現頻度をプロファイル14として保存する。また、学習装置10は、リクエストのうち、分析用のリクエストに含まれる所定の識別情報及び文字クラス列の組み合わせをプロファイル14と照合し、異常を検知する。また、学習装置10は、分析用のリクエストの少なくとも一部を選択する。また、学習装置10は、選択されたリクエストを基にプロファイル14を更新する。
 このように、分析したデータを使ってプロファイルを更新することで、分析対象サービスの仕様変更等によるパスやパラメータの変更に追随することができる。また、初期学習が不十分であっても、繰り返しプロファイルを更新していくことができるため、運用していく中で分析精度が向上する。このため、本実施形態によれば、攻撃を検知するためのプロファイルの学習を十分に行うことができる。
 学習装置10は、検知の結果を基に、分析用のリクエストのうち異常の度合いが所定値以下であるリクエストを選択することができる。これにより、異常であることが疑われる分析データを逐次学習の対象から除外できるので、異常なデータを正常なものとして学習することを防止できる。
 選択部128は、分析用のリクエストのうち、あらかじめ設定された所定のパターンに合致しないリクエストを選択することができる。これにより、異常であることが既知の分析データを逐次学習の対象から除外できるので、異常なデータを正常なものとして学習することを防止できる。
[第2の実施形態]
 第1の実施形態では、分析済みデータ127のパラメータが学習済みであるか否かにかかわらず、学習装置10は、所定のルールに基づいて分析済みデータ127の中から逐次学習の対象となるデータを選択していた。一方で、第2の実施形態では、学習装置10は、未学習のパラメータを有する分析済みデータ127を逐次学習の対象として選択する。
 図9は、第2の実施形態に係る学習装置の構成の一例を示す図である。図9に示すように、第2の実施形態において、学習装置10は、未学習パラメータ情報130を有する。なお、第2の実施形態では、第1の実施形態と同様の構成については同一の符号を付して、説明を省略する。
 未学習パラメータ情報130は、プロファイル14に含まれていない識別情報であって、例えば検知部124において変換後の分析対象データとプロファイルを比較する際に生成される。ここで、識別情報とは、リクエストのパス及びキーの組み合わせである。この場合、検知部124は、検知を行う際に、分析対象のリクエストのパス及びキーの組み合わせのうち、プロファイル14に含まれていない組み合わせを、未学習パラメータ情報130に追加していくことができる。このため、選択部128は、分析用のリクエストのうち、識別情報がプロファイル14に含まれていないリクエストを選択することになる。これにより、効率的にプロファイル14の更新を行うことができる。
 選択部128は、分析済みデータ127のうち、識別情報が未学習パラメータ情報130にマッチするものを選択する。図10は、第2の実施形態に係る逐次学習処理について説明するための図である。図10の例において、HTTPリクエスト「GET /newpath?key1=data1」の識別情報は、「/newpath」及び「key1」である。ここで、「/newpath」及び「key1」の組み合わせは、未学習パラメータ情報130に存在するので、選択部128は、HTTPリクエスト「GET /newpath?key1=data1」を逐次学習の対象として選択する。
 なお、選択部128は、未学習パラメータ情報130に識別情報がマッチするデータをすぐに選択してもよいし、ある一定期間にわたってマッチした回数がある閾値以上となった未学習パラメータ情報130を選択の際に参照するようにしてもよい。これにより、例えば、ユーザの入力誤り等で一時的に発生した未学習パラメータを無視することができる。
[その他の実施形態]
 なお、実施形態では、プロファイル14を表形式で表しているが、プロファイル14のデータの記憶形式としては表形式の他、JSON(JavaScript(登録商標) Object Notation)形式やMySQL、PostgreSQL等のデータベースを用いて記憶してもよい。また、分析対象データ201、学習データ202、分析済みデータ127は、いずれもHTTPリクエストを複数含むデータであり、例えばWebサーバのアクセスログやアクセスログをパース又は変換したJSON形式のデータであってもよい。
 また、説明した選択部128による逐次学習対象のデータの選択方法は、単独で用いられてもよいし、適宜組み合わせて用いられてもよい。例えば、選択部128は、異常の度合いが所定値以下、かつ、攻撃パターン情報129にマッチしないリクエストを選択することができる。また、例えば、選択部128は、攻撃パターン情報129にマッチせず、かつ、未学習パラメータ情報130にマッチするリクエストを選択することができる。
[プログラム]
 一実施形態として、学習装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の学習を実行する学習プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の学習プログラムを情報処理装置に実行させることにより、情報処理装置を学習装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
 また、学習装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の学習に関するサービスを提供する学習サーバ装置として実装することもできる。例えば、学習サーバ装置は、更新前のプロファイル及び分析対象のHTTPリクエストを入力とし、更新済みのプロファイルを出力とする学習サービスを提供するサーバ装置として実装される。この場合、学習サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の学習に関するサービスを提供するクラウドとして実装することとしてもかまわない。
 図11は、実施形態に係る学習プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
 メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
 ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、学習装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、学習装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
 また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
 なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
 10 学習装置
 11 入力部
 12 制御部
 13 検知結果
 14 プロファイル
 111 分析対象データ入力部
 112 学習データ入力部
 121 生成部
 122 抽出部
 123 変換部
 124 検知部
 125 保存部
 126 更新部
 127 分析済みデータ
 128 選択部
 129 攻撃パターン情報
 130 未学習パラメータ情報
 201 分析対象データ
 202 学習データ

Claims (6)

  1.  コンピュータによって実行される学習方法であって、
     サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成工程と、
     前記リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとの出現頻度をプロファイルとして保存する保存工程と、
     前記リクエストのうち、分析用のリクエストに含まれる前記識別情報及び前記文字クラス列の組み合わせを前記プロファイルと照合し、異常を検知する検知工程と、
     前記分析用のリクエストの少なくとも一部を選択する選択工程と、
     前記選択工程によって選択されたリクエストを基に前記プロファイルを更新する更新工程と、
     を含むことを特徴とする学習方法。
  2.  前記選択工程は、前記検知工程による検知の結果を基に、前記分析用のリクエストのうち異常の度合いが所定値以下であるリクエストを選択することを特徴とする請求項1に記載の学習方法。
  3.  前記選択工程は、前記分析用のリクエストのうち、あらかじめ設定された所定のパターンに合致しないリクエストを選択することを特徴とする請求項1に記載の学習方法。
  4.  前記選択工程は、前記分析用のリクエストのうち、前記識別情報が前記プロファイルに含まれていないリクエストを選択することを特徴とする請求項1に記載の学習方法。
  5.  サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成部と、
     前記リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとの出現頻度をプロファイルとして保存する保存部と、
     前記リクエストのうち、分析用のリクエストに含まれる前記識別情報及び前記文字クラス列の組み合わせを前記プロファイルと照合し、異常を検知する検知部と、
     前記分析用のリクエストの少なくとも一部を選択する選択部と、
     前記選択部によって選択されたリクエストを基に前記プロファイルを更新する更新部と、
     を有することを特徴とする学習装置。
  6.  コンピュータに、
     サーバへのリクエストに含まれる所定の文字列の構造を抽象化した文字クラス列を生成する生成ステップと、
     前記リクエストのうち、学習用のリクエストに含まれる所定の識別情報及び前記文字クラス列の組み合わせごとの出現頻度をプロファイルとして保存する保存ステップと、
     前記リクエストのうち、分析用のリクエストに含まれる前記識別情報及び前記文字クラス列の組み合わせを前記プロファイルと照合し、異常を検知する検知ステップと、
     前記分析用のリクエストの少なくとも一部を選択する選択ステップと、
     前記選択ステップによって選択されたリクエストを基に前記プロファイルを更新する更新ステップと、
     を実行させることを特徴とする学習プログラム。
PCT/JP2019/016903 2018-05-21 2019-04-19 学習方法、学習装置及び学習プログラム WO2019225251A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020521115A JP6935849B2 (ja) 2018-05-21 2019-04-19 学習方法、学習装置及び学習プログラム
US17/056,434 US20210209504A1 (en) 2018-05-21 2019-04-19 Learning method, learning device, and learning program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018097452 2018-05-21
JP2018-097452 2018-05-21

Publications (1)

Publication Number Publication Date
WO2019225251A1 true WO2019225251A1 (ja) 2019-11-28

Family

ID=68616718

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/016903 WO2019225251A1 (ja) 2018-05-21 2019-04-19 学習方法、学習装置及び学習プログラム

Country Status (3)

Country Link
US (1) US20210209504A1 (ja)
JP (1) JP6935849B2 (ja)
WO (1) WO2019225251A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112801237A (zh) * 2021-04-15 2021-05-14 北京远鉴信息技术有限公司 暴恐内容识别模型的训练方法、训练装置及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015114804A1 (ja) * 2014-01-31 2015-08-06 株式会社日立製作所 不正アクセスの検知方法および検知システム
WO2015186662A1 (ja) * 2014-06-06 2015-12-10 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
JP2016066282A (ja) * 2014-09-25 2016-04-28 株式会社日立製作所 ウイルス検知システム及び方法
WO2018159337A1 (ja) * 2017-03-03 2018-09-07 日本電信電話株式会社 プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
WO2013186870A1 (ja) * 2012-06-13 2013-12-19 株式会社日立製作所 サービス監視システム、及び、サービス監視方法
US9853996B2 (en) * 2015-04-13 2017-12-26 Secful, Inc. System and method for identifying and preventing malicious API attacks
WO2017145591A1 (ja) * 2016-02-26 2017-08-31 日本電信電話株式会社 分析装置、分析方法および分析プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015114804A1 (ja) * 2014-01-31 2015-08-06 株式会社日立製作所 不正アクセスの検知方法および検知システム
WO2015186662A1 (ja) * 2014-06-06 2015-12-10 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
JP2016066282A (ja) * 2014-09-25 2016-04-28 株式会社日立製作所 ウイルス検知システム及び方法
WO2018159337A1 (ja) * 2017-03-03 2018-09-07 日本電信電話株式会社 プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112801237A (zh) * 2021-04-15 2021-05-14 北京远鉴信息技术有限公司 暴恐内容识别模型的训练方法、训练装置及可读存储介质
CN112801237B (zh) * 2021-04-15 2021-07-23 北京远鉴信息技术有限公司 暴恐内容识别模型的训练方法、训练装置及可读存储介质

Also Published As

Publication number Publication date
US20210209504A1 (en) 2021-07-08
JPWO2019225251A1 (ja) 2020-12-10
JP6935849B2 (ja) 2021-09-15

Similar Documents

Publication Publication Date Title
US11689549B2 (en) Continuous learning for intrusion detection
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
US8745760B2 (en) Malware classification for unknown executable files
JP6106340B2 (ja) ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
CN110808968A (zh) 网络攻击检测方法、装置、电子设备和可读存储介质
JP6708794B2 (ja) 判定装置、判定方法、および、判定プログラム
EP3799367B1 (en) Generation device, generation method, and generation program
Prasetio et al. Cross-site scripting attack detection using machine learning with hybrid features
JP6954466B2 (ja) 生成方法、生成装置および生成プログラム
WO2019225251A1 (ja) 学習方法、学習装置及び学習プログラム
US9886498B2 (en) Title standardization
CN111382417B (zh) 使用一系列设备指纹识别来自用户设备的欺诈行为的系统和方法
CN107241342A (zh) 一种网络攻击串检测方法及装置
CN110197066B (zh) 一种云计算环境下的虚拟机监控方法及监控系统
US12028352B2 (en) Learning method, learning device, and learning program
US11233809B2 (en) Learning device, relearning necessity determination method, and relearning necessity determination program
US20240028716A1 (en) Method and apparatus for creating a malware detection dataset
Denzer Similarity-based Intelligent Malware Type Detection through Multiple Sources of Dynamic Characteristics
CN114491621A (zh) 文本对象安全性检测方法和设备
NZ754552B2 (en) Continuous learning for intrusion detection

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19806772

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2020521115

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19806772

Country of ref document: EP

Kind code of ref document: A1