WO2020161808A1

WO2020161808A1 - 優先度判定装置、優先度判定方法、及びコンピュータ可読媒体

Info

Publication number: WO2020161808A1
Application number: PCT/JP2019/004117
Authority: WO
Inventors: 将平蛭田
Original assignee: 日本電気株式会社
Priority date: 2019-02-05
Filing date: 2019-02-05
Publication date: 2020-08-13
Also published as: JP7081695B2; US20220060487A1; JPWO2020161808A1; US11956256B2

Abstract

優先度判定装置（１０）において非類似指標算出部（１１）は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績との非類似指標を算出する。優先度判定部（１２）は、非類似指標算出部（１１）によって算出された非類似指標に基づいて、第１セキュリティアラートの優先度を判定する。

Description

優先度判定装置、優先度判定方法、及びコンピュータ可読媒体

　本開示は、優先度判定装置、優先度判定方法、及びコンピュータ可読媒体に関する。

　企業等を含む多く組織は、サイバー攻撃から組織の重要情報を守るために、ＳＯＣ（Security Operation Center)を組織し、又は、外部のＳＯＣサービスを利用している。ＳＯＣとは、情報セキュリティ機器及びサーバなどが生成するログを分析し、サイバー攻撃の検出及び通知を行う組織である。

　ＳＯＣで使用されている情報セキュリティ機器の一つに、ネットワーク型侵入検知装置がある。ネットワーク型侵入検知装置は、ネットワーク上に存在する機器への攻撃を検知し、ＳＯＣ分析官にセキュリティアラートを通知する装置である。ＳＯＣ分析官は、セキュリティアラートに基づいて、攻撃を受けた機器をネットワークから切断するといった対策を講じている。

　一方で、近年のネットワークには、多種多様な機器が接続されている。このため、サイバー攻撃も多種多様化しており、ネットワーク型侵入検知装置が通知するセキュリティアラートの種類及び数が増加している。このため、優先度が高いセキュリティアラートを優先して通知する仕組みが求められている。

　関連する技術として、不正アクセスの重要性（優先度）を判定する装置が提案されている（例えば、特許文献１）。特許文献１に開示されている装置は、予め複数のイベントが定義されており、ログ情報及びトラフィック情報に含まれるイベントの数に応じてスコアリングを行い、スコアがある閾値を超えた場合、不正アクセスであると判定し、スコアに応じて、不正アクセスの重要性を判定する。

国際公開第２０１４／１１９６６９号

　しかしながら、特許文献１に開示された技術では、予めイベントを定義する必要があるため利便性に欠け、予めイベントを定義できていないと不正アクセスの重要度（優先度）の判定精度が劣化する可能性がある。

　本開示の目的は、セキュリティアラートの優先度の判定精度を向上させることができる、優先度判定装置、優先度判定方法、及びコンピュータ可読媒体を提供することにある。

　第１の態様にかかる優先度判定装置は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績との非類似指標を算出する非類似指標算出部と、前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する優先度判定部と、を具備する。

　第２の態様にかかる優先度判定方法は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績との非類似指標を算出し、前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する。

　第３の態様にかかるコンピュータ可読媒体は、ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績特性との非類似指標を算出し、前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する、処理を、優先度判定装置に実行させる制御プログラムを記録する。

　本開示により、セキュリティアラートの優先度の判定精度を向上させることができる、優先度判定装置、優先度判定方法、及び記録媒体を提供することができる。

第１実施形態における優先度判定装置の一例を示すブロック図である。第２実施形態のシステムの一例を示す図である。フロー情報管理テーブルの一例を示す図である。第２実施形態における優先度判定装置の一例を示すブロック図である。脅威フローセット情報管理テーブルの一例を示す図である。脅威フローセット情報の伝送実績の散布図の一例を示す図である。図６の脅威フローセット情報の伝送実績から求めたカーネル密度推定量を示す図である。分布相違指標の説明に供する、確率密度を示す図である。分布相違指標の説明に供する、確率密度を示す図である。分布相違指標の説明に供する、確率密度を示す図である。分布相違指標の説明に供する、確率密度を示す図である。第２実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。第２実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。第３実施形態における優先度判定装置の一例を示すブロック図である。第３実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。第４実施形態における優先度判定装置の一例を示すブロック図である。脅威フロー情報管理テーブルの一例を示す図である。第４実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。第４実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。第５実施形態における優先度判定装置の一例を示すブロック図である。脅威フローセット情報管理テーブルの一例を示す図である。第５実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。第５実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。第６実施形態の優先度判定装置の一例を示すブロック図である。第６実施形態の表示制御の説明に供する図である。第６実施形態の表示制御の説明に供する図である。第６実施形態の表示制御の説明に供する図である。優先度判定装置のハードウェア構成例を示す図である。

　以下、図面を参照しつつ、実施形態について説明する。なお、実施形態において、同一又は同等の要素には、同一の符号を付し、重複する説明は省略される。

＜第１実施形態＞
　図１は、第１実施形態における優先度判定装置の一例を示すブロック図である。図１において優先度判定装置１０は、非類似指標算出部１１と、優先度判定部１２とを有している。

　非類似指標算出部１１は、ネットワーク型進入検知装置（不図示）から第１タイミングで通知されたセキュリティアラートに関連するトラヒックフローの「伝送実績」を取得する。「伝送実績」は、例えば、送信実績及び受信実績を含む。「送信実績」は、例えば、送信パケット数又は送信データ量を含む。「受信実績」は、例えば、受信パケット数又受信データ量を含む。以下では、第１タイミングで通知されたセキュリティアラートを、「判定対象アラート」、「第１セキュリティアラート」と呼ぶことがある。また、以下では、第１タイミングで通知されたセキュリティアラートに関連するトラヒックフローを、「第１トラヒックフロー」と呼ぶことがある。

　また、非類似指標算出部１１は、ネットワーク型侵入検知装置（不図示）から第１タイミングより前（つまり、過去）に通知されたセキュリティアラートに関連するトラヒックフローの「伝送実績」を取得する。以下では、第１タイミングより前（つまり、過去）に通知されたセキュリティアラートを、「過去アラート」、「第２セキュリティアラート」と呼ぶことがある。また、第１タイミングより前（つまり、過去）に通知されたセキュリティアラートに関連するトラヒックフローを、「第２トラヒックフロー」と呼ぶことがある。

　そして、非類似指標算出部１１は、上記の第１トラヒックフローの伝送実績と、上記の第２トラヒックフローの伝送実績との「非類似指標」を算出する。

　優先度判定部１２は、非類似指標算出部１１によって算出された非類似指標に基づいて、第１セキュリティアラートの優先度を判定する。そして、優先度判定部１２は、非類似指標算出部１１にて算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも該非類似指標が示す非類似レベルが所定レベルより高い場合に、第１セキュリティアラートに対してより高い優先度を割り当てる。

　ここで、「上記の非類似指標が示す非類似レベルが所定レベルより高い」ことは、例えば第１セキュリティアラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と異なっており優先度（重要度）が高いことを意味している。すなわち、上記の「非類似指標」は、セキュリティアラートの優先度についての判定指標として用いることができる。

　以上のように第１実施形態によれば、優先度判定装置１０において非類似指標算出部１１は、上記の第１トラヒックフローの伝送実績と、上記の第２トラヒックフローの伝送実績との「非類似指標」を算出する。優先度判定部１２は、非類似指標算出部１１によって算出された非類似指標に基づいて、上記の第１セキュリティアラートの優先度を判定する。

　この優先度判定装置１０の構成により、事前にイベントを定義することなく、セキュリティアラートに関連するトラヒックフローの伝送実績を用いてセキュリティアラートの優先度を判定することができる。これにより、利便性、及び、セキュリティアラートの優先度の判定精度を向上させることができる。

＜第２実施形態＞
　第２実施形態は、「非類似指標」として、トラヒックフローの伝送実績についての分布の相違度（つまり、「分布相違度」）を用いる実施形態に関する。

　＜システムの概要＞
　図２は、第２実施形態のシステムの一例を示す図である。図２においてシステム１は、ネットワーク型進入検知装置２０と、トラヒック監視装置３０と、優先度判定装置４０とを有している。

　ネットワーク型進入検知装置２０は、インターネットとイントラネットとの境界を流れるトラヒックフローを監視して、イントラネット内の機器への攻撃を検知する。そして、該攻撃が検知された場合、ネットワーク型進入検知装置２０は、「アラート種別情報」及びアラート対象フローの「フロー特定情報」を含むセキュリティアラートを優先度判定装置４０へ送出する。「アラート種別情報」は、例えば、検知された攻撃に対応する「脅威名」である。また、「フロー特定情報」は、例えば、アラート対象フローの「送信元情報」、「送信先情報」、及び「時刻」である。なお、以下では、セキュリティアラートに含まれるアラート種別情報及びフロー特定情報をまとめて「アラート情報」と呼ぶことがある。

　トラヒック監視装置３０は、インターネットとイントラネットとの境界を流れるトラヒックフローを監視して、各トラヒックフローの「フロー情報」を記憶する。「フロー情報」は、例えば、「フロー特定情報」及び「伝送実績」を含む。トラヒック監視装置３０は、各エントリにトラヒックフローのフロー情報を保持する「フロー情報管理テーブル」の形式で、フロー情報を記憶してもよい。

　図３は、フロー情報管理テーブルの一例を示す図である。図３に示すフロー情報管理テーブルは、各エントリにフロー情報を保持している。各フロー情報は、フロー特定情報及び伝送実績（つまり、送信実績情報及び受信実績情報）を含んでいる。

　＜優先度判定装置の構成例＞
　図４は、第２実施形態における優先度判定装置の一例を示すブロック図である。図４において優先度判定装置４０は、抽出部４１と、取得部４２と、非類似指標算出部４３と、優先度判定部４４と、記憶部（記憶装置）４５とを有している。なお、ここでは、記憶部４５が優先度判定装置４０に含まれているものとして説明を行うが、これに限定されるものではなく、記憶部４５は、優先度判定装置４０と接続され且つ優先度判定装置４０とは別体の装置であってもよい。

　抽出部４１は、ネットワーク型進入検知装置２０から送出されたセキュリティアラートから「アラート情報」を抽出する。上記の通り、「アラート情報」は、アラート種別情報及びフロー特定情報を含む。

　取得部４２は、抽出部４１にて抽出されたアラート情報のフロー特定情報と同じフロー特定情報を含むフロー情報を、トラヒック監視装置３０のフロー情報管理テーブルから取得する。なお、以下では、抽出部４１にて抽出されたアラート情報のアラート種別情報とフロー情報管理テーブルから取得されたフロー情報とを合わせて、「脅威フロー情報」と呼ぶことがある。

　また、取得部４２は、脅威フロー情報の時刻を基準とする所定期間内の時刻を含み且つ脅威フロー情報の送信元情報及び送信先情報と同じ送信元情報及び送信先情報を含むフロー情報をすべて取得する。なお、第１の送信元情報の送信元ポート番号と第２の送信元情報の送信元ポート番号とが異なる場合でも送信元ポート番号以外の情報が同じである場合には、第１の送信元情報と第２の送信元情報とは同じであると扱ってもよい。ここで取得されたすべてのフロー情報をまとめて、以下では「脅威フローセット情報」と呼ことがある。また、「脅威フロー情報の時刻を基準とする所定期間」は、例えば、該時刻から１時間後までの期間であってもよいし、該時刻の３０分前から３０分後であってもよい。すなわち、「脅威フローセット情報」は、判定対象アラートに対応するトラヒックフローに関連するトラヒックフロー群のフロー情報である。このため、脅威フロー情報及び脅威フローセット情報は、イントラネット内の機器への一連の攻撃に対応する可能性が高い。

　また、取得部４２は、抽出部４１にて抽出されたアラート情報のアラート種別情報（つまり、脅威名）とアラート種別情報が同じである「過去脅威フローセット情報」を、記憶部４５の「脅威フローセット情報管理テーブル」から取得する。「脅威フローセット情報管理テーブル」は、取得部４２によって過去に取得された「脅威フローセット情報」を保持するテーブルである。

　図５は、脅威フローセット情報管理テーブルの一例を示す図である。図５に示す脅威フローセット情報管理テーブルは、過去脅威フローセット情報を保持している。また、脅威フローセット情報管理テーブルでは、脅威名が同じである複数の過去脅威フローセット情報を、非類似指標に基づいてグループ分けしている。すなわち、図５の脅威フローセット情報管理テーブルにおける、送信元情報：Ａ、送信先情報Ｘの過去脅威フローセット情報と送信元情報：Ａ、送信先情報Ｙの過去脅威フローセット情報とは、類似していると過去に判定されていることになる。一方で、図５の脅威フローセット情報管理テーブルにおける、送信元情報：Ａ、送信先情報Ｚの過去脅威フローセット情報は、送信元情報：Ａ、送信先情報Ｘの過去脅威フローセット情報及び送信元情報：Ａ、送信先情報Ｙの過去脅威フローセット情報のいずれとも類似していないと過去に判定されていることになる。

　非類似指標算出部４３は、脅威フローセット情報の伝送実績の分布（以下では、「第１分布」と呼ぶことがある）を算出する。また、非類似指標算出部４３は、過去脅威フローセット情報の伝送実績の分布を上記グループ単位で算出する。このグループ単位で算出された分布を、以下では「第２分布」と呼ぶことがある。そして、非類似指標算出部４３は、第１分布と各グループの第２分布との分布相違度（つまり、分布相違指標）を、「非類似指標」として算出する。

　例えば、分布を表現する手法には、例えば、カーネル密度推定手法がある。カーネル密度推定手法は、式（１）を用いて、分布を確率密度で表現する。

　また、例えば、分布相違度としては、カルバック・ライブラー情報量を用いることができる。カルバック・ライブラー情報量は、２つの確率分布を入力として与え、２つの確率分布の差異を計る尺度である。カルバック・ライブラー情報量が大きい値であるほど、２つの分布の差異は大きい。例えば、式（２）を用いて、カルバック・ライブラー情報量を算出することができる。

　すなわち、式（２）のｐ及びｑは、式（１）で求めた、脅威フローセット情報の伝送実績の確率密度（つまり、第１確率密度）、及び、グループ単位の過去脅威フローセット情報の伝送実績の確率密度（つまり、第２確率密度）である。

　図６は、脅威フローセット情報の伝送実績の散布図の一例を示す図である。図７は、図６の脅威フローセット情報の伝送実績から求めたカーネル密度推定量を示す図である。非類似指標算出部４３は、図６の脅威フローセット情報の送信実績情報及び受信実績情報からなる２次元データをデータＸとして式（１）に入力することにより、カーネル密度推定量を算出する。なお、式（１）への入力データは、３次元以上のデータであってもよい。例えば、式（１）への入力データは、脅威フローセット情報の送信実績情報、受信実績情報、及び通信時間の３次元データであってもよい。また、式（１）におけるカーネル関数Ｋ（ｘ）は、例えば、ガウス関数又はコサイン関数であってもよい。また、バンド幅ｈは、例えば、実験又はシミュレーションによって求められてもよい。

　図８乃至図１１は、分布相違指標の説明に供する、確率密度を示す図である。図８に示す確率密度及び図９に示す確率密度と式（２）とを用いた場合、分布相違指標の値として、０．２１５が得られた。また、図１０に示す確率密度及び図１１に示す確率密度と式（２）とを用いた場合、分布相違指標の値として、６．６５２が得られた。すなわち、類似していない２つの分布についての分布相違指標は、類似している２つの分布についての分布相違指標よりも大きくなることがわかる。

　図４の説明に戻り、優先度判定部４４は、非類似指標算出部４３にて算出された分布相違度と「第１閾値」との大小に基づいて、判定対象アラート（つまり、第１セキュリティアラート）の優先度を判定する。

　例えば、優先度判定部４４は、分布相違度の最小値と、該最小値に対応する上記グループ（以下では、「最小値グループ」と呼ぶことがある）の番号とを特定する。そして、優先度判定部４４は、特定した最小値と「第１閾値」とを比較し、該最小値が第１閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。これは、判定対象アラートに関連する脅威フローセット情報の伝送実績の分布が、いずれの過去脅威フローセット情報の伝送実績の分布にも類似していないため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と異なっていると推測されるためである。そして、優先度判定部４４は、判定対象アラートに対して「第１優先度（つまり、高優先度）」を割り当てる。

　そして、優先度判定部４４は、取得部４２で取得された脅威フローセット情報と、脅威フローセット情報管理テーブルにおいて判定対象アラートの脅威名に属するグループの最大グループ番号に１を加えた新グループ番号とを対応づけて、記憶部４５の脅威フローセット情報管理テーブルに記憶させる。

　一方、特定した最小値が第１閾値以下である場合、優先度判定部４４は、判定対象アラートの優先度が低いと判定する。これは、判定対象アラートに関連する脅威フローセット情報の伝送実績の分布が、過去脅威フローセット情報の伝送実績の分布に類似しているため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と同じであると推測されるためである。そして、優先度判定部４４は、判定対象アラートに対して「第３優先度（つまり、低優先度）」を割り当てる。

　そして、優先度判定部４４は、取得部４２で取得された脅威フローセット情報と、上記特定された最小値グループの番号とを対応づけて、記憶部４５の脅威フローセット情報管理テーブルに記憶させる。

　記憶部（記憶装置）４５は、上記のフロー情報管理テーブル及び脅威フローセット情報管理テーブルを記憶する。

　＜優先度判定装置の動作例＞
　以上の構成を有する優先度判定装置４０の処理動作の一例について説明する。図１２及び図１３は、第２実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図１２の処理フローは、優先度判定装置４０がセキュリティアラート（判定対象アラート、第１セキュリティアラート）を受け取ったときにスタートする。

　抽出部４１は、判定対象アラートから、アラート情報を抽出する（ステップＳ１０１）。

　取得部４２は、脅威フロー情報を取得する（ステップＳ１０２）。例えば、取得部４２は、抽出部４１にて抽出されたアラート情報のフロー特定情報と同じフロー特定情報を含むフロー情報を、トラヒック監視装置３０のフロー情報管理テーブルから取得する。そして、取得部４２は、抽出部４１にて抽出されたアラート情報のアラート種別情報を取得し、該アラート種別情報と上記取得したフロー特定情報と合わせて、脅威フロー情報を取得する。

　取得部４２は、脅威フローセット情報を取得する（ステップＳ１０３）。例えば、取得部４２は、脅威フロー情報の時刻を基準とする所定期間内の時刻を含み且つ脅威フロー情報の送信元情報及び送信先情報と同じ送信元情報及び送信先情報を含むフロー情報をすべて取得する。

　取得部４２は、過去脅威フローセット情報を取得する（ステップＳ１０４）。例えば、取得部４２は、抽出部４１にて抽出されたアラート情報のアラート種別情報（つまり、脅威名）とアラート種別情報が同じである過去脅威フローセット情報を、記憶部４５の脅威フローセット情報管理テーブルから取得する。

　非類似指標算出部４３は、脅威フローセット情報及び過去脅威フローセット情報を用いて、非類似指標を算出する（ステップＳ１０５）。例えば、脅威フローセット情報の伝送実績の第１分布を算出する。また、非類似指標算出部４３は、過去脅威フローセット情報の伝送実績の第２分布を算出する。上記の通り、第２分布は、上記のグループ単位で算出された、過去脅威フローセット情報の伝送実績の分布である。そして、非類似指標算出部４３は、第１分布と各グループの第２分布との分布相違度（つまり、分布相違指標）を、非類似指標として算出する。

　優先度判定部４４は、判定対象アラートの優先度を判定する（ステップＳ１０６）。図１３は、優先度判定処理の一例を示すフローチャートである。

　優先度判定部４４は、ステップＳ１０５にて算出された分布相違度の最小値を特定し、該最小値が第１閾値よりも大きいか否かを判定する（ステップＳ２０１）。

　上記の最小値が第１閾値よりも大きい場合（ステップＳ２０１ＹＥＳ）、優先度判定部４４は、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第１優先度（つまり、高優先度）を割り当てる（ステップＳ２０２）。

　上記の最小値が第１閾値以下である場合（ステップＳ２０１ＮＯ）、優先度判定部４４は、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第３優先度（つまり、低優先度）を割り当てる（ステップＳ２０３）。

　以上のように第２実施形態によれば、優先度判定装置４０にて非類似指標算出部４３は、脅威フローセット情報の伝送実績の第１分布及び過去脅威フローセット情報の伝送実績の第２分布を算出し、該第１分布と該第２分布との分布相違度を、非類似指標として算出する。

　この優先度判定装置４０の構成により、サイバー攻撃の傾向の類似非類似が現れる、伝送実績の分布の分布相違度を、非類似指標として算出することができる。そして、この非類似指標に基づいて判定対象アラートの優先度を判定できるので、判定精度を向上させることができる。

＜第３実施形態＞
　第３実施形態は、第２実施形態と比べて、さらに「外れ値」の有無に基づいて判定対象アラートの優先度を判定する実施形態に関する。なお、第３実施形態におけるシステムの基本構成は、第２実施形態のシステム１と同じなので、図２を参照して説明する。すなわち、第３実施形態のシステム１は、図２の優先度判定装置４０の代わりに、第３実施形態の優先度判定装置５０を含んでいる。

　＜優先度判定装置の構成例＞
　図１４は、第３実施形態における優先度判定装置の一例を示すブロック図である。図１４において優先度判定装置５０は、抽出部４１、取得部４２、非類似指標算出部４３、及び記憶部４５の他に、優先度判定部５１を有している。優先度判定部５１は、判定処理部５１Ａと、外れ値検出部５１Ｂとを有している。

　判定処理部５１Ａは、第２実施形態の優先度判定部４４と同様に、非類似指標算出部４３にて算出された分布相違度に基づいて、判定対象アラートの優先度を判定する。

　さらに、判定処理部５１Ａは、外れ値検出部５１Ｂにて外れ値が検出されたか否かに基づいて、判定対象アラートの優先度を判定する。例えば、判定処理部５１Ａは、外れ値検出部５１Ｂにて外れ値が検出された場合、判定対象アラートの優先度が高いと判定して、判定対象アラートに対して「第２優先度」を割り当てる。外れ値検出部５１Ｂにて外れ値が検出されない場合、判定処理部５１Ａは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第３優先度を割り当てる。ここで、「第２優先度」は、例えば、第２実施形態で説明した「第１優先度」よりも優先度が低く、「第３優先度」よりも優先度が高い。

　外れ値検出部５１Ｂは、判定処理部５１Ａにて第２実施形態で説明したように特定した最小値が第１閾値以下である場合に、外れ値の検出処理を実行する。例えば、外れ値検出部５１Ｂは、脅威フローセット情報管理テーブルにて上記の最小値グループの番号と対応づけられている過去脅威フローセット情報（判定対象アラートに関連する脅威フローセット情報を含む）をクラスタリングして、クラスタを形成する。そして、外れ値検出部５１Ｂは、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。なお、クラスタリングの手法は、特に限定されるものではなく、例えば、ＤＢＳＣＡＮ、又は、ｘ－ｍｅａｎｓであってもよい。

　＜優先度判定装置の動作例＞
　以上の構成を有する第３実施形態における優先度判定装置の処理動作の一例について説明する。第３実施形態における優先度判定装置５０の基本動作は、図１２に示した優先度判定装置４０と同じである。ただし、第３実施形態と第２実施形態とでは、図１２のステップＳ１０６における優先度判定処理動作が異なっている。

　図１５は、第３実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図１５は、特に、図１２のステップＳ１０６に対応する優先度判定処理動作が示されている。

　図１５におけるステップＳ３０１及びステップＳ３０２は、図１３におけるステップＳ２０１及びステップＳ２０２と同じである。

　特定された分布相違度の最小値が第１閾値以下である場合（ステップＳ３０１ＮＯ）、外れ値検出部５１Ｂは、脅威フローセット情報管理テーブルにて最小値グループの番号と対応づけられている過去脅威フローセット情報に対してクラスタリングを実行する（ステップＳ３０３）。そして、外れ値検出部５１Ｂは、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。

　判定処理部５１Ａは、外れ値検出部５１Ｂにて外れ値が検出されたか否かを判定する（ステップＳ３０４）。

　外れ値検出部５１Ｂにて外れ値が検出された場合（ステップＳ３０４ＹＥＳ）、判定処理部５１Ａは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第２優先度を割り当てる（ステップＳ３０５）。上記の通り、例えば、「第２優先度」は、「第１優先度」よりも優先度が低く、「第３優先度」よりも優先度が高い。

　外れ値検出部５１Ｂにて外れ値が検出されない場合（ステップＳ３０４ＮＯ）、判定処理部５１Ａは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第３優先度を割り当てる（ステップＳ３０６）。

　以上のように第３実施形態によれば、優先度判定装置５０にて優先度判定部５１は、脅威フローセット情報管理テーブルにて最小値グループの番号と対応づけられている過去脅威フローセット情報に対してクラスタリングを実行する。そして、優先度判定部５１は、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。そして、優先度判定部５１は、外れ値が検出されたか否かに基づいて、判定対象アラートの優先度を判定する。

　この優先度判定装置５０の構成により、分布相違度に加えて、外れ値の有無に基づいて判定対象アラートの優先度を判定することができるので、優先度をより精緻に判定することができる。

＜第４実施形態＞
　第４実施形態は、「非類似指標」として、トラヒックフローの伝送実績の距離を用いる実施形態に関する。なお、第４実施形態におけるシステムの基本構成は、第２実施形態のシステム１と同じなので、図２を参照して説明する。すなわち、第４実施形態のシステム１は、図２の優先度判定装置４０の代わりに、第４実施形態の優先度判定装置６０を含んでいる。

　＜優先度判定装置の構成例＞
　図１６は、第４実施形態における優先度判定装置の一例を示すブロック図である。図１６において優先度判定装置６０は、取得部６１と、非類似指標算出部６２と、優先度判定部６３と、記憶部６４とを有する。

　取得部６１は、第２実施形態の取得部４２と同様に、「脅威フロー情報」を取得する。

　また、取得部６１は、抽出部４１にて抽出されたアラート情報のアラート種別情報（つまり、脅威名）とアラート種別情報が同じである「過去脅威フロー情報」を、記憶部６４の「脅威フロー情報管理テーブル」から取得する。「脅威フロー情報管理テーブル」は、取得部６１によって過去に取得された「脅威フロー情報」を保持するテーブルである。

　図１７は、脅威フロー情報管理テーブルの一例を示す図である。図１７に示す脅威フロー情報管理テーブルは、過去脅威フロー情報を保持している。また、脅威フロー情報管理テーブルでは、脅威名が同じである複数の過去脅威フロー情報を、非類似指標に基づいてクラス分けしている。すなわち、図１７の項目「脅威名」が「Ｔｈｒｅａｔ　Ａ」のクラス番号１のクラスに属する過去脅威フロー情報は、同クラスの他の過去脅威フロー情報と類似していると過去に判定されていることになる。一方で、図１７の項目「脅威名」が「Ｔｈｒｅａｔ　Ａ」のクラス番号２のクラスに属する過去脅威フロー情報は、クラス番号１のクラスに属する過去脅威フロー情報と類似していないと過去に判定されていることになる。

　非類似指標算出部６２は、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標を算出する。例えば、非類似指標算出部６２は、脅威フロー情報の伝送実績と、脅威フロー情報の脅威名と同じ脅威名の各過去脅威フロー情報の伝送実績との距離を算出する。例えば、伝送実績は、送信実績及び受信実績を含むので、伝送実績を送信実績及び受信実績の座標平面にプロットできる。そして、非類似指標算出部６２は、脅威フロー情報の伝送実績に対応する座標と過去脅威フロー情報の伝送実績に対応する座標との距離を算出する。

　優先度判定部６３は、非類似指標算出部６２にて算出された距離と「第２閾値」との大小に基づいて、判定対象アラートの優先度を判定する。

　例えば、優先度判定部６３は、距離の最小値と、該最小値に対応する上記クラス（以下では、「最小値クラス」と呼ぶことがある）の番号とを特定する。そして、優先度判定部６３は、特定した最小値と「第２閾値」とを比較し、該最小値が第２閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。これは、判定対象アラートに関連する脅威フロー情報の伝送実績が、いずれの過去脅威フロー情報の伝送実績にも類似していないため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と異なっていると推測されるためである。そして、優先度判定部６３は、判定対象アラートに対して「第４優先度（つまり、高優先度）」を割り当てる。

　そして、優先度判定部６３は、取得部６１で取得された脅威フロー情報と、脅威フロー情報管理テーブルにおいて判定対象アラートの脅威名に属するクラスの最大クラス番号に１を加えた新クラス番号とを対応づけて、記憶部６４の脅威フロー情報管理テーブルに記憶させる。

　一方、特定した最小値が第２閾値以下である場合、優先度判定部６３は、判定対象アラートの優先度が低いと判定する。これは、判定対象アラートに関連する脅威フロー情報の伝送実績が、過去脅威フロー情報の伝送実績に類似しているため、判定対象アラートに対応するサイバー攻撃が過去のサイバー攻撃の傾向と同じであると推測されるためである。そして、優先度判定部６３は、判定対象アラートに対して「第３優先度（つまり、低優先度）」を割り当てる。

　そして、優先度判定部６３は、取得部６１で取得された脅威フロー情報と、上記特定された最小値クラスの番号とを対応づけて、記憶部６４の脅威フロー情報管理テーブルに記憶させる。

　記憶部６４は、上記の脅威フロー情報管理テーブルを記憶する。

　＜優先度判定装置の動作例＞
　以上の構成を有する優先度判定装置６０の処理動作の一例について説明する。図１８及び図１９は、第４実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図１８の処理フローは、優先度判定装置６０がセキュリティアラート（判定対象アラート、第１セキュリティアラート）を受け取ったときにスタートする。

　図１８のステップＳ４０１及びステップＳ４０２の処理は、図１２のステップＳ１０１及びステップＳ１０２の処理と同じである。

　取得部６１は、過去脅威フロー情報を取得する（ステップＳ４０３）。例えば、取得部６１は、抽出部４１にて抽出されたアラート情報のアラート種別情報とアラート種別情報が同じである過去脅威フロー情報を、記憶部６４の脅威フロー情報管理テーブルから取得する。

　非類似指標算出部６２は、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標を算出する（ステップＳ４０４）。例えば、非類似指標算出部６２は、脅威フロー情報の伝送実績と、脅威フロー情報の脅威名と同じ脅威名の各過去脅威フロー情報の伝送実績との距離を算出する。

　優先度判定部６３は、判定対象アラートの優先度を判定する（ステップＳ４０５）。図１９は、優先度判定処理の一例を示すフローチャートである。

　優先度判定部６３は、ステップＳ４０４にて算出された距離の最小値を特定し、該最小値が第２閾値よりも大きいか否かを判定する（ステップＳ５０１）。

　上記の最小値が第２閾値よりも大きい場合（ステップＳ５０１ＹＥＳ）、優先度判定部６３は、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第４優先度（つまり、高優先度）を割り当てる（ステップＳ５０２）。

　上記の最小値が第２閾値以下である場合（ステップＳ５０１ＮＯ）、優先度判定部６３は、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第３優先度（つまり、低優先度）を割り当てる（ステップＳ５０３）。

　以上のように第４実施形態によれば、優先度判定装置６０にて非類似指標算出部６２は、脅威フロー情報の伝送実績と過去脅威フロー情報の伝送実績との距離を、非類似指標として算出する。

　この優先度判定装置６０の構成により、サイバー攻撃の傾向の類似非類似が現れる、伝送実績の距離を、非類似指標として算出することができる。そして、この非類似指標に基づいて判定対象アラートの優先度を判定できるので、判定精度を向上させることができる。

＜第５実施形態＞
　第５実施形態は、判定対象アラートの優先度判定に、「距離」、「分布相違度」、及び「外れ値の有無」を用いる実施形態に関する。すなわち、第５実施形態は、第３実施形態と第４実施形態とを組み合わせたものに相当する。なお、第５実施形態におけるシステムの基本構成は、第２実施形態のシステム１と同じなので、図２を参照して説明する。すなわち、第５実施形態のシステム１は、図２の優先度判定装置４０の代わりに、第５実施形態の優先度判定装置７０を含んでいる。

　＜優先度判定装置の構成例＞
　図２０は、第５実施形態における優先度判定装置の一例を示すブロック図である。図２０において優先度判定装置７０は、取得部７１と、非類似指標算出部７２と、優先度判定部７３と、記憶部７４とを有している。優先度判定部７３は、判定処理部７３Ａと、外れ値検出部７３Ｂとを有している。

　取得部７１は、第２実施形態の取得部４２と同様に、脅威フロー情報を取得する。

　また、取得部７１は、第４実施形態の取得部６１と同様に、過去脅威フロー情報を取得する。

　また、取得部７１は、第２実施形態の取得部４２と同様に、脅威フローセット情報を取得する。

　また、取得部７１は、第２実施形態の取得部４２と同様に、脅威フローセット情報管理テーブルから、過去脅威フローセット情報を取得する。ただし、第５実施形態の脅威フローセット情報管理テーブルでは、図２１に示すように、脅威名が同じである複数の過去脅威フローセット情報が、非類似指標に基づいて、クラス及びグループに分けられている。図２１は、第５実施形態の脅威フローセット情報管理テーブルの一例を示す図である。

　非類似指標算出部７２は、第４実施形態の非類似指標算出部６２と同様に、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標としての距離を算出する。

　また、非類似指標算出部７２は、第２実施形態の非類似指標算出部４３と同様に、脅威フローセット情報及び過去脅威フローセット情報を用いて、非類似指標としての分布相違度を算出する。

　判定処理部７３Ａは、第４実施形態の優先度判定部６３と同様に、距離の最小値と最小値クラスの番号とを特定する。そして、優先度判定部６３は、特定した距離の最小値と「第２閾値」とを比較し、該最小値が第２閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。そして、判定処理部７３Ａは、判定対象アラートに対して「第４優先度（つまり、高優先度）」を割り当てる。

　そして、判定処理部７３Ａは、取得部７１で取得された脅威フロー情報と、脅威フロー情報管理テーブルにおいて判定対象アラートの脅威名に属するクラスの最大クラス番号に１を加えた新クラス番号とを対応づけて、記憶部７４の脅威フロー情報管理テーブルに記憶させる。

　一方、特定した距離の最小値が第２閾値以下である場合、判定処理部７３Ａは、最小値クラス内の各グループについて第２実施形態と同様に算出された分布相違度の最小値と最小値グループとを特定する。また、特定した距離の最小値が第２閾値以下である場合、判定処理部７３Ａは、取得部７１で取得された脅威フロー情報と、上記の最小値クラスとを対応づけて、記憶部７４の脅威フロー情報管理テーブルに記憶させる。そして、判定処理部７３Ａは、特定した分布相違度の最小値と「第１閾値」とを比較し、該最小値が第１閾値よりも大きい場合、判定対象アラートの優先度が高いと判定する。そして、判定処理部７３Ａは、判定対象アラートに対して「第１優先度（つまり、高優先度）」を割り当てる。

　そして、判定処理部７３Ａは、取得部７１で取得された脅威フローセット情報と、脅威フローセット情報管理テーブルにおいて判定対象アラートの脅威名に属するグループの最大グループ番号に１を加えた新グループ番号と、上記の最小値クラスとを対応づけて、記憶部７４の脅威フローセット情報管理テーブルに記憶させる。

　一方、特定した分布相違度の最小値が第１閾値以下である場合、判定処理部７３Ａは、外れ値検出部７３Ｂにて外れ値が検出されたか否かに基づいて、判定対象アラートの優先度を判定する。例えば、判定処理部７３Ａは、外れ値検出部７３Ｂにて外れ値が検出された場合、判定対象アラートの優先度が高いと判定して、判定対象アラートに対して「第２優先度」を割り当てる。外れ値検出部７３Ｂにて外れ値が検出されない場合、判定処理部７３Ａは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第３優先度を割り当てる。また、特定した分布相違度の最小値が第１閾値以下である場合、判定処理部７３Ａは、取得部７１で取得された脅威フローセット情報と、上記の最小値クラスと、上記の最小値グループとを対応づけて、記憶部７４の脅威フローセット情報管理テーブルに記憶させる。ここで、第１優先度、第２優先度、及び、第４優先度の優先順位は、種々の設定が可能であり、例えば、この順番で低くなっていてもよい。ただし、第１優先度、第２優先度、及び、第４優先度のいずれも、第３優先度（低優先度）よりも優先度が高くなっている。

　外れ値検出部７３Ｂは、第３実施形態の外れ値検出部５１Ｂと同様に、外れ値の検出処理を実行する。

　記憶部７４は、フロー情報管理テーブル、脅威フローセット情報管理テーブル、及び、脅威フロー情報管理テーブルを記憶している。

　＜優先度判定装置の動作例＞
　以上の構成を有する優先度判定装置７０の処理動作の一例について説明する。図２２及び図２３は、第５実施形態における優先度判定装置の処理動作の一例を示すフローチャートである。図２２の処理フローは、優先度判定装置７０がセキュリティアラート（判定対象アラート、第１セキュリティアラート）を受け取ったときにスタートする。

　図２２のステップＳ６０１の処理は、図１２のステップＳ１０１の処理と同じである。

　取得部７１は、脅威フロー情報を取得し（ステップＳ６０２）、過去脅威フロー情報を取得し（ステップＳ６０３）、脅威フローセット情報を取得し（ステップＳ６０４）、過去脅威フローセット情報を取得する（ステップＳ６０５）。

　非類似指標算出部７２は、脅威フロー情報及び過去脅威フロー情報を用いて、非類似指標としての距離を算出し、脅威フローセット情報及び過去脅威フローセット情報を用いて、非類似指標としての分布相違度を算出する（ステップＳ６０６）。

　判定処理部７３Ａは、判定対象アラートの優先度を判定する（ステップＳ６０７）。図２３は、優先度判定処理の一例を示すフローチャートである。

　判定処理部７３Ａは、ステップＳ６０６にて算出された距離の最小値を特定し、該最小値が第２閾値よりも大きいか否かを判定する（ステップＳ７０１）。

　上記の距離の最小値が第２閾値よりも大きい場合（ステップＳ７０１ＹＥＳ）、判定処理部７３Ａは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第４優先度（つまり、高優先度）を割り当てる（ステップＳ７０２）。そして、判定処理部７３Ａは、取得部７１で取得された脅威フロー情報と、判定対象アラートの脅威名に属するクラスの最大クラス番号に１を加えた新クラス番号とを対応づけて、記憶部７４の脅威フロー情報管理テーブルに記憶させる。

　特定した距離の最小値が第２閾値以下である場合（ステップＳ７０１ＮＯ）、判定処理部７３Ａは、最小値クラス内の各グループについて算出された分布相違度の最小値と最小値グループとを特定し、特定した分布相違度の最小値と「第１閾値」とを比較する（ステップＳ７０３）。なお、特定した距離の最小値が第２閾値以下である場合、判定処理部７３Ａは、取得部７１で取得された脅威フロー情報と、上記の最小値クラスとを対応づけて、記憶部７４の脅威フロー情報管理テーブルに記憶させる。

　特定した分布相違度の最小値が第１閾値よりも大きい場合（ステップＳ７０３ＹＥＳ）、判定処理部７３Ａは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して「第１優先度（つまり、高優先度）」を割り当てる（ステップＳ７０４）。そして、判定処理部７３Ａは、取得部７１で取得された脅威フローセット情報と、判定対象アラートの脅威名に属するグループの最大グループ番号に１を加えた新グループ番号と、上記の最小値クラスとを対応づけて、記憶部７４の脅威フローセット情報管理テーブルに記憶させる。

　特定された分布相違度の最小値が第１閾値以下である場合（ステップＳ７０３ＮＯ）、外れ値検出部７３Ｂは、脅威フローセット情報管理テーブルにて最小値グループの番号と対応づけられている過去脅威フローセット情報に対してクラスタリングを実行する（ステップＳ７０５）。そして、外れ値検出部７３Ｂは、判定対象アラートに関連する脅威フローセット情報の伝送実績のうちでどのクラスタにも属さない外れ値を検出する処理を実行する。なお、特定した分布相違度の最小値が第１閾値以下である場合、判定処理部７３Ａは、取得部７１で取得された脅威フローセット情報と、上記の最小値クラスと、上記の最小値グループとを対応づけて、記憶部７４の脅威フローセット情報管理テーブルに記憶させる。

　判定処理部７３Ａは、外れ値検出部７３Ｂにて外れ値が検出されたか否かを判定する（ステップＳ７０６）。

　外れ値検出部７３Ｂにて外れ値が検出された場合（ステップＳ７０６ＹＥＳ）、判定処理部７３Ａは、判定対象アラートの優先度が高いと判定し、判定対象アラートに対して第２優先度を割り当てる（ステップＳ７０７）。

　外れ値検出部７３Ｂにて外れ値が検出されない場合（ステップＳ７０６ＮＯ）、判定処理部７３Ａは、判定対象アラートの優先度が低いと判定し、判定対象アラートに対して第３優先度を割り当てる（ステップＳ７０８）。

　なお、以上では、判定処理部７３Ａによって距離に基づく優先度判定が行われる前に、取得部７１が脅威フローセット情報及び過去脅威フローセット情報を取得し、非類似指標算出部７２が脅威フローセット情報及び過去脅威フローセット情報を用いて分布相違度を算出するものとして説明を行ったが、これに限定されない。例えば、判定処理部７３Ａにて特定された距離の最小値が第２閾値以下であると判断された後に、取得部７１が脅威フローセット情報及び過去脅威フローセット情報を取得し、非類似指標算出部７２が脅威フローセット情報及び過去脅威フローセット情報を用いて分布相違度を算出してもよい。この場合、取得部７１は、最小値クラス内の過去脅威フローセット情報を取得すればよく、非類似指標算出部７２は、取得された最小値クラス内の過去脅威フローセット情報についての分布相違度を算出すればよい。

　以上のように第５実施形態によれば、優先度判定装置７０が距離、分布相違度、及び、外れ値の有無に基づいて判定対象アラートの優先度を判定することができるので、優先度をさらに精緻に判定することができる。

＜第６実施形態＞
　第６実施形態は、優先度に応じた表示制御に関する。

　＜優先度判定装置の構成例＞
　図２４は、第６実施形態の優先度判定装置の一例を示すブロック図である。図２４において優先度判定装置８０は、抽出部８１と、取得部８２と、非類似指標算出部８３と、優先度判定部８４と、記憶部８５と、表示制御部８６とを有している。優先度判定装置８０は、表示装置９０と接続されている。なお、優先度判定装置８０の抽出部８１、取得部８２、非類似指標算出部８３、優先度判定部８４、及び記憶部８５は、第２実施形態から第５実施形態のいずれかの優先度判定装置における対応する機能部と同じ機能を有していてもよい。ここでは、一例として、優先度判定装置８０が第２実施形態の優先度判定装置４０に対応するものとして説明する。

　表示制御部８６は、表示装置９０に対して、セキュリティアラートを優先度に応じて表示させる制御を実行する。

　表示制御部８６は、各セキュリティアラートのアラート情報を表示装置９０に表示させる。このとき、表示制御部８６は、優先度の高いセキュリティアラートを優先的に又は強調して表示させる。

　例えば、表示制御部８６は、図２５に示すように、複数のセキュリティアラートを、発生した順番に関わらず、優先度の高いセキュリティアラートから順番に表示装置９０の表示画面に表示させてもよい。図２５の例では、セキュリティアラート４，９が高優先度であり、その他のセキュリティアラートが低優先度である。また、表示制御部８６は、例えば、高優先度のセキュリティアラートのアラート情報を囲む枠の太さを低優先度のセキュリティアラートのアラート情報を囲む枠の太さよりも太くすることによって、優先度の高いセキュリティアラートを強調表示してもよい。また、表示制御部８６は、例えば、セキュリティアラートの優先度に応じて、アラート情報の文字又は表示領域の色を変えてもよい。また、これらの表示方法は、組み合わされてもよい。

　また、表示制御部８６は、図２６に示すように、表示装置９０の表示画面においてアラート情報の表示領域がマウスカーソル等によって選択されると、該表示領域に表示されているアラート情報に対応する、脅威フローセット情報の伝送実績情報の散布図、及び、過去脅威フローセット情報の伝送実績情報の散布図が、ポップアップ表示されるように、表示制御してもよい。さらに、表示制御部８６は、図２７に示すように、セキュリティアラートの優先度の判定理由をポップアップ表示してもよい。優先度の判定理由として、例えば、「脅威フローセット情報が、過去脅威フローセット情報とまったく異なる」等が表示されてもよい。

　なお、優先度判定装置８０が第４実施形態の優先度判定装置６０に対応する場合も、表示制御部８６は、以上で説明した表示制御と同じように、表示制御を行うことができる。

　また、優先度判定装置８０が第３実施形態の優先度判定装置５０に対応する場合、表示制御部８６は、次のような表示制御を行ってもよい。例えば、表示制御部８６は、第１優先度と第２優先度とを区別して、セキュリティアラートを表示させてもよい。この場合、表示制御部８６は、例えば、第１優先度に対応するアラート情報、第２優先度に対応するアラート情報、第３優先度に対応するアラート情報の順に表示されるように、表示制御を行ってもよい。また、表示制御部８６は、例えば、第１優先度に対応するアラート情報の色を「赤」、第２優先度に対応するアラート情報の色を「黄」、第３優先度に対応するアラート情報の色を「青」にするように、表示制御を行ってもよい。また、表示制御部８６は、アラート情報を囲む枠の太さを、第１優先度に対応する枠が一番太く、第２優先度に対応する枠が次に太く、第３優先度に対応する枠が一番細くなるように、表示制御を行ってもよい。また、これらの表示方法が組み合わされてもよい。又は、表示制御部８６は、第１優先度と第２優先度とを区別せずに、セキュリティアラートを表示させてもよい。この場合、第１優先度に対応する色と第２優先度に対応する色とは、同じとなる。また、第１優先度に対応する枠の太さと第２優先度に対応する枠の太さとは同じとなる。

　また、優先度判定装置８０が第５実施形態の優先度判定装置７０に対応する場合、表示制御部８６は、次のような表示制御を行ってもよい。例えば、表示制御部８６は、第１優先度と第２優先度と第４優先度とを区別して、セキュリティアラートを表示させてもよい。この場合、表示制御部８６は、例えば、第１優先度に対応するアラート情報、第２優先度に対応するアラート情報、第４優先度に対応するアラート情報、第３優先度に対応するアラート情報の順に表示されるように、表示制御を行ってもよい。また、表示制御部８６は、例えば、第１優先度に対応するアラート情報の色を「赤」、第２優先度に対応するアラート情報の色を「黄」、第４優先度に対応するアラート情報の色を「黄緑」、第３優先度に対応するアラート情報の色を「青」にするように、表示制御を行ってもよい。また、表示制御部８６は、アラート情報を囲む枠の太さを、第１優先度に対応する枠が一番太く、第２優先度に対応する枠が次に太く、第４優先度に対応する枠が次に太く、第３優先度に対応する枠が一番細くなるように、表示制御を行ってもよい。また、これらの表示方法が組み合わされてもよい。又は、表示制御部８６は、第１優先度と第２優先度と第４優先度とを区別せずに、セキュリティアラートを表示させてもよい。この場合、第１優先度に対応する色と第２優先度に対応する色と第４優先度に対応する色は、同じとなる。また、第１優先度に対応する枠の太さと第２優先度に対応する枠の太さと第４優先度に対応する枠の太さは同じとなる。

　以上のように第６実施形態によれば、優先度判定装置８０において、表示制御部８６は、セキュリティアラートを優先度に応じて表示する制御を実行する。

　この優先度判定装置８０の構成により、優先度の高いセキュリティアラートを優先的に又は強調して表示することが可能となる。このため、優先度が高いセキュリティアラートを一見して認識することができるので、ＳＯＣ分析官は、優先度の高いセキュリティアラートに対応する事態に対する対策を優先的に講じることができる。この結果として、対応ネットワークのセキュリティレベルを向上させることができる。また、ＳＯＣ分析官の業務効率を向上させることもできる。

　＜他の実施形態＞
　図２８は、優先度判定装置のハードウェア構成例を示す図である。図２８において優先度判定装置１００は、プロセッサ１０１と、メモリ１０２とを有している。プロセッサ１０１は、例えば、マイクロプロセッサ、MPU（Micro Processing Unit）、又はCPU（Central Processing Unit）であってもよい。プロセッサ１０１は、複数のプロセッサを含んでもよい。メモリ１０２は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ１０２は、プロセッサ１０１から離れて配置されたストレージを含んでもよい。この場合、プロセッサ１０１は、図示されていないI/Oインタフェースを介してメモリ１０２にアクセスしてもよい。

　第１実施形態から第６実施形態の優先度判定装置１０，４０，５０，６０、７０，８０は、それぞれ、図２８に示したハードウェア構成を有することができる。第１実施形態から第６実施形態の優先度判定装置１０，４０，５０，６０、７０，８０の抽出部４１，８１と、取得部４２，６１，７１，８２と、非類似指標算出部１１，４３，６２，７２，８３と、優先度判定部１２，４４，５１，６３，７３，８４と、表示制御部８６とは、プロセッサ１０１がメモリ１０２に記憶されたプログラムを読み込んで実行することにより実現されてもよい。プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、優先度判定装置１０，４０，５０，６０、７０，８０に供給することができる。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）を含む。さらに、非一時的なコンピュータ可読媒体の例は、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗを含む。さらに、非一時的なコンピュータ可読媒体の例は、半導体メモリを含む。半導体メモリは、例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory）を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によって優先度判定装置１０，４０，５０，６０、７０，８０に供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムを優先度判定装置１０，４０，５０，６０、７０，８０に供給できる。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

（付記１）
　ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績との非類似指標を算出する非類似指標算出部と、
　前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する優先度判定部と、
　を具備する優先度判定装置。

（付記２）
　前記優先度判定部は、前記算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも、前記算出された非類似指標が示す非類似レベルが所定レベルより高い場合に、前記第１セキュリティアラートに対して、より高い優先度を割り当てる、
　付記１記載の優先度判定装置。

（付記３）
　前記非類似指標算出部は、前記第１トラヒックフローの伝送実績についての第１分布及び前記第２トラヒックフローの伝送実績についての第２分布を算出し、前記第１分布と前記第２分布との分布相違度を、前記非類似指標として算出する、
　付記１又は２に記載の優先度判定装置。

（付記４）
　前記非類似指標算出部は、前記第１トラヒックフローの伝送実績と前記第２トラヒックフローの伝送実績との距離を、前記非類似指標として算出する、
　付記１から３のいずれか１項に記載の優先度判定装置。

（付記５）
　前記優先度判定部は、さらに、前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在するか否かに基づいて、前記第１セキュリティアラートの優先度を判定する、
　付記１から４のいずれか１項に記載の優先度判定装置。

（付記６）
　前記第１セキュリティアラート及び前記第２セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
　前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知された各第２セキュリティアラートに関連する第２トラヒックフローの伝送実績がアラート識別情報及び分布相違度に基づいてグループ分けされた複数のグループのうちで前記第１セキュリティアラートと同じアラート識別情報に対応する各グループの伝送実績と、前記第１セキュリティアラートに関連する第１トラヒックフローの伝送実績とについての、前記分布相違度を算出する、
　付記３記載の優先度判定装置。

（付記７）
　前記優先度判定部は、前記グループの単位で算出された分布相違度と第１閾値との大小に基づいて、前記第１セキュリティアラートの前記優先度を判定する、
　付記６記載の優先度判定装置。

（付記８）
　前記第１セキュリティアラート及び前記第２セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
　前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知され且つ前記第１セキュリティアラートと同じアラート識別情報を含む各第２セキュリティアラートに関連する第２トラヒックフローの伝送実績と、前記第１セキュリティアラートに関連する第１トラヒックフローの伝送実績とについての、前記距離を算出する、
　付記４記載の優先度判定装置。

（付記９）
　前記優先度判定部は、前記算出された距離と第２閾値との大小に基づいて、前記第１セキュリティアラートの前記優先度を判定する、
　付記８記載の優先度判定装置。

（付記１０）
　前記優先度判定部は、
　前記分布相違度が第１閾値より大きい場合、前記第１セキュリティアラートに対して、第１優先度を割り当て、
　前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在する場合、前記第１優先度よりも優先度の低い第２優先度を割り当て、
　前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在しない場合、前記第２優先度よりも優先度の低い第３優先度を割り当てる、
　付記３記載の優先度判定装置。

（付記１１）
　前記非類似指標算出部は、前記第１トラヒックフローの伝送実績と前記第２トラヒックフローの伝送実績との距離を、前記非類似指標として算出し、
　前記優先度判定部は、
　前記距離が第２閾値よりも大きい場合、前記第１セキュリティアラートに対して、第４優先度を割り当て、
　前記距離が前記第２閾値以下であり且つ前記分布相違度が第１閾値より大きい場合、前記第１セキュリティアラートに対して、前記第４優先度よりも優先度の高い第１優先度を割り当て、
　前記距離が前記第２閾値以下であり且つ前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在する場合、前記第１優先度よりも優先度の低く且つ前記第４優先度よりも優先度の高い第２優先度を割り当て、
　前記距離が前記第２閾値以下であり且つ前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在しない場合、前記第４優先度よりも優先度の低い第３優先度を割り当てる、
　付記３記載の優先度判定装置。

（付記１２）
　前記優先度に応じた表示を制御する表示制御部をさらに具備する、
　付記１から１１のいずれか１項に記載の優先度判定装置。

（付記１３）
　ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績との非類似指標を算出し、
　前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する、
　優先度判定方法。

（付記１４）
　ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績特性との非類似指標を算出し、
　前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する、
　処理を、優先度判定装置に実行させる制御プログラムが格納された非一時的なコンピュータ可読媒体。

　１　システム
　１０　優先度判定装置
　１１　非類似指標算出部
　１２　優先度判定部
　２０　ネットワーク型進入検知装置
　３０　トラヒック監視装置
　４０　優先度判定装置
　４１　抽出部
　４２　取得部
　４３　非類似指標算出部
　４４　優先度判定部
　４５　記憶部（記憶装置）
　５０　優先度判定装置
　５１　優先度判定部
　５１Ａ　判定処理部
　５１Ｂ　外れ値検出部
　６０　優先度判定装置
　６１　取得部
　６２　非類似指標算出部
　６３　優先度判定部
　６４　記憶部
　７０　優先度判定装置
　７１　取得部
　７２　非類似指標算出部
　７３　優先度判定部
　７３Ａ　判定処理部
　７３Ｂ　外れ値検出部
　７４　記憶部
　８０　優先度判定装置
　８１　抽出部
　８２　取得部
　８３　非類似指標算出部
　８４　優先度判定部
　８５　記憶部
　８６　表示制御部
　９０　表示装置

Claims

　ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績との非類似指標を算出する非類似指標算出部と、
　前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する優先度判定部と、
　を具備する優先度判定装置。
　前記優先度判定部は、前記算出された非類似指標が示す非類似レベルが所定レベル以下である場合よりも、前記算出された非類似指標が示す非類似レベルが所定レベルより高い場合に、前記第１セキュリティアラートに対して、より高い優先度を割り当てる、
　請求項１記載の優先度判定装置。
　前記非類似指標算出部は、前記第１トラヒックフローの伝送実績についての第１分布及び前記第２トラヒックフローの伝送実績についての第２分布を算出し、前記第１分布と前記第２分布との分布相違度を、前記非類似指標として算出する、
　請求項１又は２に記載の優先度判定装置。
　前記非類似指標算出部は、前記第１トラヒックフローの伝送実績と前記第２トラヒックフローの伝送実績との距離を、前記非類似指標として算出する、
　請求項１から３のいずれか１項に記載の優先度判定装置。
　前記優先度判定部は、さらに、前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在するか否かに基づいて、前記第１セキュリティアラートの優先度を判定する、
　請求項１から４のいずれか１項に記載の優先度判定装置。
　前記第１セキュリティアラート及び前記第２セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
　前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知された各第２セキュリティアラートに関連する第２トラヒックフローの伝送実績がアラート識別情報及び分布相違度に基づいてグループ分けされた複数のグループのうちで前記第１セキュリティアラートと同じアラート識別情報に対応する各グループの伝送実績と、前記第１セキュリティアラートに関連する第１トラヒックフローの伝送実績とについての、前記分布相違度を算出する、
　請求項３記載の優先度判定装置。
　前記優先度判定部は、前記グループの単位で算出された分布相違度と第１閾値との大小に基づいて、前記第１セキュリティアラートの前記優先度を判定する、
　請求項６記載の優先度判定装置。
　前記第１セキュリティアラート及び前記第２セキュリティアラートは、それぞれ、アラート種別情報及びアラート対象フローのフロー特定情報を含み、
　前記非類似指標算出部は、前記ネットワーク型侵入検知装置から過去に通知され且つ前記第１セキュリティアラートと同じアラート識別情報を含む各第２セキュリティアラートに関連する第２トラヒックフローの伝送実績と、前記第１セキュリティアラートに関連する第１トラヒックフローの伝送実績とについての、前記距離を算出する、
　請求項４記載の優先度判定装置。
　前記優先度判定部は、前記算出された距離と第２閾値との大小に基づいて、前記第１セキュリティアラートの前記優先度を判定する、
　請求項８記載の優先度判定装置。
　前記優先度判定部は、
　前記分布相違度が第１閾値より大きい場合、前記第１セキュリティアラートに対して、第１優先度を割り当て、
　前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在する場合、前記第１優先度よりも優先度の低い第２優先度を割り当て、
　前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在しない場合、前記第２優先度よりも優先度の低い第３優先度を割り当てる、
　請求項３記載の優先度判定装置。
　前記非類似指標算出部は、前記第１トラヒックフローの伝送実績と前記第２トラヒックフローの伝送実績との距離を、前記非類似指標として算出し、
　前記優先度判定部は、
　前記距離が第２閾値よりも大きい場合、前記第１セキュリティアラートに対して、第４優先度を割り当て、
　前記距離が前記第２閾値以下であり且つ前記分布相違度が第１閾値より大きい場合、前記第１セキュリティアラートに対して、前記第４優先度よりも優先度の高い第１優先度を割り当て、
　前記距離が前記第２閾値以下であり且つ前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在する場合、前記第１優先度よりも優先度の低く且つ前記第４優先度よりも優先度の高い第２優先度を割り当て、
　前記距離が前記第２閾値以下であり且つ前記分布相違度が前記第１閾値以下であり且つ前記第１トラヒックフローの伝送実績及び前記第２トラヒックフローの伝送実績に外れ値が存在しない場合、前記第４優先度よりも優先度の低い第３優先度を割り当てる、
　請求項３記載の優先度判定装置。
　前記優先度に応じた表示を制御する表示制御部をさらに具備する、
　請求項１から１１のいずれか１項に記載の優先度判定装置。
　ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績との非類似指標を算出し、
　前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する、
　優先度判定方法。
　ネットワーク内の機器への攻撃を検知するネットワーク型侵入検知装置から通知された第１セキュリティアラートに関連する第１トラヒックフローの伝送実績と、前記ネットワーク型侵入検知装置から過去に通知された第２セキュリティアラートに関連する第２トラヒックフローの伝送実績特性との非類似指標を算出し、
　前記算出された非類似指標に基づいて、前記第１セキュリティアラートの優先度を判定する、
　処理を、優先度判定装置に実行させる制御プログラムが格納された非一時的なコンピュータ可読媒体。