WO2021070291A1

WO2021070291A1 - レベル推定装置、レベル推定方法、および、レベル推定プログラム

Info

Publication number: WO2021070291A1
Application number: PCT/JP2019/039865
Authority: WO
Inventors: 俊樹芝原; 博和小寺; 大紀千葉; 満昭秋山; 邦夫波戸
Original assignee: 日本電信電話株式会社
Priority date: 2019-10-09
Filing date: 2019-10-09
Publication date: 2021-04-15
Also published as: EP4030324A4; US20230103084A1; EP4030324A1; JP7302668B2; EP4030324B1; JPWO2021070291A1

Abstract

レベル推定装置（１０）は、各ネットワーク機器またはアプリケーションが検知したイベントのイベントログを受信する。そして、レベル推定装置（１０）は、イベント同士の類似度を算出し、算出したイベント同士の類似度と、イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定する。ここで、レベル推定装置（１０）は、イベント同士の類似度の算出において、異なるネットワーク機器またはアプリケーションで検知されたイベント同士の類似度を算出する際、異なるネットワーク機器またはアプリケーションで共通に検知されたイベントである共通イベントとの類似度を用いる。

Description

レベル推定装置、レベル推定方法、および、レベル推定プログラム

　本発明は、レベル推定装置、レベル推定方法、および、レベル推定プログラムに関する。

　マルウェアの感染等のセキュリティインシデント（インシデント）を早期に発見するために、セキュリティ機器で検知されたイベントログを監視することが行われている。そして、セキュリティ機器で検知されたイベントのレベル（例えば、インシデントが発生している可能性の高さ等）を推定するため、当該イベントと過去のインシデントとの関連の強さを用いる技術が提案されている（非特許文献１参照）。

Kevin　A　Roundy,　Acar　Tamersoy,　Michael　Spertus,　Michael　Hart,　Daniel　Kats,　Matteo　Dell’Amico,　and　Robert　Scott.　2017.,　Smoke　Detector:　Cross-Product　Intrusion　Detection　With　Weak　Indicators.　,　In　Proceedings　of　the　33rd　Annual　Computer　Security　Applications　Conference.　200-211.

　ここでセキュリティ機器が検知するイベントはサイバー攻撃の変化に追随するために日々増加している。従来技術では、レベルの推定対象のイベントと過去のインシデントとの関連の強さに基づいて、レベルを推定している。このため、従来技術では、レベルの推定対象のイベントが、インシデントの発生する前のイベントである場合、レベルが低く推定されてしまうという問題がある。そこで、本発明は、前記した問題を解決し、セキュリティ機器が検知したイベントのレベルを精度よく推定することを課題とする。

　前記した課題を解決するため、本発明は、ネットワーク機器またはアプリケーションが検知したイベントのイベントログを受信するログ受信部と、前記イベントログを用いて前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定するレベル推定部とを備え、前記イベント同士の類似度の算出において、異なるネットワーク機器またはアプリケーションで検知されたイベント同士の類似度を算出する際、前記異なるネットワーク機器またはアプリケーションで共通に検知されたイベントである共通イベントとの類似度を用いることを特徴とする。

　本発明によれば、セキュリティ機器が検知したイベントのレベルを精度よく推定することができる。

図１は、第１の実施形態のレベル推定装置の概要を説明する図である。図２は、第１の実施形態のレベル推定装置の構成例を示す図である。図３は、イベントログの例を示す図である。図４は、集約されたイベントログの例を示す図である。図５は、集約されたイベントログから数値ベクトルを作成する手順の例を説明する図である。図６は、イベントレベル情報の例を示す図である。図７は、第１の実施形態のレベル推定装置の処理手順の例を示すフローチャートである。図８は、第２の実施形態のレベル推定装置におけるレベルの推定を説明する図である。図９は、第３の実施形態のレベル推定装置におけるレベルの推定を説明する図である。図１０は、各実施形態のレベル推定装置が適用されるシステムの構成例を示す図である。図１１は、各実施形態のレベル推定装置によるレベルの推定結果により並べ替えられたアラートの例を示す図である。図１２は、レベル推定プログラムを実行するコンピュータの例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（実施形態）を、第１の実施形態から第３の実施形態に分けて説明する。本発明は各実施形態に限定されない。

　なお、以下において、レベル推定装置が、レベルの推定対象とするイベントは、セキュリティ機器が検知するセキュリティイベントである場合を例に説明するが、これに限定されない。例えば、レベルの推定対象のイベントは、セキュリティ機器以外のネットワーク機器やアプリケーションが検知したイベントであってもよい。また、イベントのレベルとは、例えば、セキュリティに関するインシデントが発生している可能性の高さ、イベントの重要度等である。

　さらに、セキュリティ機器は、イベントを検知する専用のハードウェア装置により実現されてもよいし、イベントを検知するアプリケーションやソフトウェアにより実現されてもよい。

［第１の実施形態］
［概要］
　図１を用いて第１の実施形態のレベル推定装置の概要を説明する。まず、レベル推定装置は、各セキュリティ機器（図示省略）で検知したイベントのイベントログのうち、同じベンダのセキュリティ機器のイベントログをイベントごとに集約し、数値ベクトルに変換する。

　例えば、レベル推定装置は、図１の符号１０１に示すように、ベンダＡのセキュリティ機器のイベントログをイベントごとに集約し、△印の数値ベクトルと、〇印の数値ベクトルとを得る。また、レベル推定装置１０は、ベンダＢのセキュリティ機器のイベントログをイベントごとに集約し、☆印の数値ベクトルと、□印の数値ベクトルと、〇印の数値ベクトルとを得る。

　ここで、数値ベクトルの中には、セキュリティ機器のベンダのみが異なる共通イベントの数値ベクトル（セキュリティ機器のベンダは異なるが同じイベントに関する数値ベクトル）が含まれるものとする。例えば、図１の符号１０１に示す数値ベクトルのうち、〇印の数値ベクトルは、ベンダＡ，Ｂで共通して検知される同一のイベント（共通イベント）の数値ベクトルである。

　レベル推定装置は、上記の数値ベクトルを、例えば、以下の２つの条件を満たす埋め込みベクトルに変換する。

（１）同じベンダのセキュリティ機器の数値ベクトル間の類似関係を保存する。
（２）共通イベントの埋め込みベクトル同士が類似する。

　これにより、レベル推定装置は、符号１０１に示す数値ベクトルの空間を、例えば、符号１０２に示す埋め込みベクトルの空間に変換する。つまり、レベル推定装置は、符号１０２に示すように、ベンダＡ，Ｂのセキュリティ機器の埋め込みベクトルについて、同じベンダのセキュリティ機器の数値ベクトル間の類似関係を保ちつつ、ベンダＡ，Ｂの共通イベントの数値ベクトル（図１の〇印）同士の距離が短くなるよう変換する。

　次に、レベル推定装置は、上記の処理により得られたベンダＡ，Ｂのセキュリティ機器の埋め込みベクトルのうち、イベントのレベルが既知の埋め込みベクトル（図１の△印）との類似度（距離）に基づき、各埋め込みベクトルのイベントのレベルを推定する。

　例えば、図１においてベンダＡの△印の埋め込みベクトルのイベントのレベルが「Primary」である場合を考える。この場合、レベル推定装置は、符号１０２に示す埋め込みベクトルの空間において、△印の埋め込みベクトルとの距離が近い埋め込みベクトル（□印の埋め込みベクトル）のイベントのレベルを「Primary」と推定する。一方、レベル推定装置は、符号１０２に示す埋め込みベクトルの空間において、△印の埋め込みベクトルとの距離が遠い埋め込みベクトル（☆印の埋め込みベクトル）のイベントのレベルを「Secondary」と推定する。

　このようにすることで、レベル推定装置は、セキュリティ機器の検知したイベントが、インシデントが発生する前のイベントであったとしても、当該イベントのレベルを精度よく推定することができる。

　また、異なるベンダのセキュリティ機器はそれぞれ、異なるネットワークの通信を観測していることが多い。このため、イベントの検知に用いた通信の通信量やユーザ等の特性は、セキュリティ機器のベンダごとに異なっていることが多い。よって、従来技術では、異なるベンダのセキュリティ機器のイベント同士の類似度を適切に算出できないおそれがある。

　しかし、本実施形態のレベル推定装置は、異なるベンダのセキュリティ機器間で共通するイベント（共通イベント）との類似度に基づき、異なるベンダのセキュリティ機器が検知したイベント同士の類似度を調整する。これにより、レベル推定装置は、異なるベンダのセキュリティ機器のイベント同士の類似度を適切に算出することができる。その結果、レベル推定装置は、イベントのレベルを精度よく推定することができる。

［構成］
　次に、図２を用いてレベル推定装置１０の構成例を説明する。レベル推定装置１０は、ログ受信部１１と、ログ集約部１２と、数値ベクトル作成部１３と、レベル推定部１４と、レベル出力部１５とを備える。

　ログ受信部１１は、各セキュリティ機器が検知したイベントのイベントログの入力を受け付ける。このイベントログは、例えば、検知したイベントを特定する情報（イベント名等）と当該イベントを検知したセキュリティ機器のベンダの識別情報とを含む。

　イベントログは、例えば、図３に示すように、イベントを検知したセキュリティ機器のベンダ名、当該イベントのイベント名、当該セキュリティ機器を利用している顧客、当該イベントの発生した通信の送信元および宛先、当該イベントの発生時刻等を含む。

　なお、上記のイベント名は、例えば、マルウェアの感染に関する情報、サーバへの攻撃に関する情報、アンチウイルスソフトによる検知名等である。また、通信の送信元および宛先は、例えば、IPアドレスを用いるが、IPアドレス以外にも、ドメイン名、IPアドレスレンジ等を用いてもよい。

　また、イベントログは、セキュリティ機器が検知した結果でもよいし、セキュリティ機器が記録した通信ログを用いて他の装置が検知した結果でもよい。さらに、イベントログは、図３に示した情報の他、例えば、通信の方向、通信の遮断、セキュリティ機器の型番等の情報を含んでいてもよい。また、イベントログは、イベントが１回検知された場合に１つログが記録されたものでもよいが、例えば、同じイベントが複数回検知された場合、それらがまとめて記録されたものでもよい。

　図２の説明に戻る。ログ集約部１２は、ログ受信部１１で受け付けたイベントログのうち同じイベントに関するイベントログを集約する。そして、集約したイベントログに、共通イベントのイベントログが含まれていた場合、ログ集約部１２は、当該イベントログを、セキュリティ機器のベンダごとに集約する。例えば、ログ集約部１２は、図４に示すように、イベント名が同じイベントログを集約し、集約したイベントログに複数の異なるベンダのセキュリティ機器のイベントログが含まれていた場合、当該イベントログをベンダごとに集約する。

　なお、ログ集約部１２が、どのイベントログを同じイベントに関連するとみなすかは任意であるが、例えば、上記のように同じイベント名のイベントログを同じイベントに関連するとみなす方法が考えられる。それ以外では、例えば、イベント名、通信の方向、通信の遮断の有無等の組み合わせを考慮して同じイベントとみなす方法も考えられる。また、ログ集約部１２は、イベントログを集約する際に、ログ受信部１１で受信したすべてのイベントログを対象としてもよいし、例えば、所定期間のイベントログ等、一部のイベントログを対象としてもよい。

　図２の説明に戻る。数値ベクトル作成部１３は、ログ集約部１２により集約されたイベントログから数値ベクトルを作成する。数値ベクトル作成部１３は、例えば、図５に示すように、ログ集約部１２で集約したイベントログに含まれる情報それぞれをベクトルに変換し、変換したベクトルを結合して、１つのイベントに対して１つの数値ベクトルを作成する。

　例えば、数値ベクトル作成部１３は、集約されたイベントログに含まれるイベント名について、キーワードによるone-hot　encodingを行うことによりベクトルを作成する。ここでの、キーワードは、例えば、攻撃に関する文字列（例えば、C2、malware、SQL、injection等）を使用する。また、キーワードは、例えば、多くのイベント名や複数のベンダのイベント名に共通する文字列を用いる。

　例えば、数値ベクトル作成部１３は、集約されたイベントログに含まれる送信元および宛先について、グローバルIPアドレスによるone-hot　encodingによりベクトルを作成する。また、数値ベクトル作成部１３は、上記の方法により作成したベクトルに、さらに、プライベートIPと顧客（顧客名）との組み合わせも加えたベクトルを作成してもよい。なお、数値ベクトル作成部１３は、ベクトルの作成に必要なIPアドレス数を削減するために、レベルが高いことが既知のイベントの送信元および宛先のIPアドレスを使用して、ベクトルを作成してもよい。

　また、数値ベクトル作成部１３は、集約されたイベントログに含まれる送信元、宛先および時刻については、これらの情報を用いたイベントの検知頻度や総検知数、バースト性を数値化した値や、送信元や宛先のIPアドレスのユニーク数を用いてベクトルを作成してもよい。

　数値ベクトルの作成方法は、上記に限らず、集約されたイベントログに含まれる他の要素を加えてもよいし、上記の一部のみを用いてもよい。

　レベル推定部１４は、各イベントの数値ベクトル同士の類似度を算出し、算出したイベントの数値ベクトル同士の類似度と、少なくともいずれかの数値ベクトルのイベントのレベルとに基づき、数値ベクトルの示すイベントのレベルを推定する。ここで、レベル推定部１４は、上記の数値ベクトル同士の類似度の算出において、異なるベンダのセキュリティ機器で検知されたイベントの数値ベクトル同士の類似度を算出する際、上記の共通イベントの数値ベクトルとの類似度を考慮する。

　具体的には、レベル推定部１４は、複数の異なるベンダのセキュリティ機器で検知されたイベントの数値ベクトル（以下、適宜「ベンダの数値ベクトル」と略す）のうち、共通イベントの数値ベクトルと、各ベンダの数値ベクトルとの類似度を考慮して、各ベンダの数値ベクトル同士の類似度を算出する。そして、レベル推定部１４は、算出した各ベンダの数値ベクトル同士の類似度と、少なくともいずれかの数値ベクトルのイベントのレベルとに基づき、各数値ベクトルの示すイベントのレベルを推定する。

　例えば、レベル推定部１４は、各ベンダの数値ベクトル同士の類似度を算出する際、同じベンダの数値ベクトル同士の類似関係を保ちつつ、異なるベンダで検知された同一のイベント（共通イベント）の数値ベクトル同士の類似度が所定値以上となるようなベクトル空間を用いて、各ベンダの数値ベクトル同士の類似度を算出する。

　一例を挙げると、レベル推定部１４は、数値ベクトル作成部１３により作成された数値ベクトルを、例えば、以下の条件を満たす埋め込みベクトルに変換する。

（１）同じベンダの数値ベクトル間の類似関係を保存する。
（２）異なるベンダで検知された同一のイベント（共通イベント）の埋め込みベクトル同士が類似する。

　なお、（１）において、同じベンダの数値ベクトル間の類似関係を保存する際、それぞれの数値ベクトル間の類似度を保存するようにしてもよいし、類似度の順序のみを保存するようにしてもよい。

　また、レベル推定部１４は、各ベンダのセキュリティ機器のイベント間の類似度として、各セキュリティ機器のイベントログを集約した数値ベクトルの類似度を用いる場合を例に説明するが、これに限定されない。例えば、レベル推定部１４は、セキュリティ機器のイベントログを集約した情報におけるキーワード、送信元、宛先の一致性やイベントの共起性等を、各ベンダのセキュリティ機器のイベント間の類似度として用いてもよい。

　レベル推定部１４は、例えば、図１の符号１０１に示す数値ベクトルの空間を、上記の（１）（２）の条件に基づき、符号１０２に示す埋め込みベクトルの空間に変換する。つまり、レベル推定部１４は、符号１０２に示すように、ベンダＡ，Ｂそれぞれの埋め込みベクトルについて、同じベンダにおける埋め込みベクトル同士の類似関係を保ちつつ、ベンダのみが異なる共通イベント（図１の〇印）の埋め込みベクトル同士の距離ができるだけ短くなるよう変換する。

　また、レベル推定部１４は、埋め込みベクトルの示すイベントのレベルを推定する際、レベルが既知であるイベントの埋め込みベクトルとの類似度を用いる。

　例えば、レベル推定部１４は、イベント名と当該イベント名のイベントのレベルとを示す情報（イベントレベル情報。図６参照）の入力を受け付けておく。そして、レベル推定部１４は、イベントレベル情報によりレベルが特定された埋め込みベクトルと、レベルの推定対象の埋め込みベクトルとの類似度を用いて、レベルの推定対象の埋め込みベクトルのレベルを推定する。

　なお、イベントのレベルは、例えば、Primary、Secondary等が考えられるが、離散的な数値、連続値等でもよい。また、イベントレベル情報（図６参照）には、全ベンダのセキュリティ機器において検知されるイベントのうち、いずれか１つのイベントのレベルが設定されていればよい。

　レベル推定部１４は、例えば、図１符号１０２に示す各埋め込みベクトル同士の類似度を算出した後、上記のイベントレベル情報に基づき、例えば、図１の△印の埋め込みベクトルのレベルを特定する。そして、レベル推定部１４は、△印の埋め込みベクトルと他の各埋め込みベクトルのイベントとの類似度（距離）に基づき、他の各埋め込みベクトルのイベントのレベルを推定する。

　なお、レベル推定部１４は、埋め込みベクトルのうち、イベントのレベルが不明な埋め込みベクトルのレベルのみ推定してもよいし、すべての埋め込みベクトルのレベルを推定してもよい。

　また、上記のレベル推定方法によれば、例えば、各セキュリティ機器で検知されたイベント群における、レベルが既知のイベントが少ない場合であっても、各イベントのレベルを精度よく推定することができる。

　レベル出力部１５は、レベル推定部１４により推定されたレベルを出力する。

［処理手順］
　次に、図７を用いて、レベル推定装置１０の処理手順の例を説明する。まず、レベル推定装置１０のログ受信部１１がイベントログの入力を受け付けると（Ｓ１）、ログ集約部１２は、イベントログの集約を行う（Ｓ２：ログ集約）。次に、数値ベクトル作成部１３は、Ｓ２で集約されたイベントログの数値ベクトルを作成する（Ｓ３）。その後、レベル推定部１４は、Ｓ３で作成した数値ベクトルを用いて、Ｓ１で受け付けたイベントログの示すイベントのレベルを推定する（Ｓ４）。なお、Ｓ４でレベル推定部１４がイベントのレベルを推定する際、イベントレベル情報（図６参照）の入力を受け付け、当該イベントレベル情報を参照して、イベントのレベルを推定する。その後、レベル出力部１５は、レベルの推定結果を出力する（Ｓ５：レベル出力）。

［第２の実施形態］
　次に、図８を参照しながら、第２の実施形態のレベル推定装置１０におけるレベル推定部１４におけるレベルの推定方法を説明する。

　なお、レベル推定装置１０は、第１の実施形態のレベル推定装置１０と同様に、各セキュリティ機器で検知したイベントのイベントログの集約を行う。例えば、レベル推定装置１０は、ベンダＡのセキュリティ機器のイベントログをイベントごとに集約し、例えば、図８に示す△印の数値ベクトルと、〇印の数値ベクトルとを得る。また、レベル推定装置１０は、ベンダＢのセキュリティ機器のイベントログをイベントごとに集約し、図８に示す☆印の数値ベクトルと、□印の数値ベクトルと、〇印の数値ベクトルとを得る。なお、図８において〇印の数値ベクトルはベンダＡ，Ｂに共通するイベント（共通イベント）の数値ベクトルである。

　レベル推定部１４は、まず、ベンダＡの△印の数値ベクトルと、ベンダＡの〇印の数値ベクトルとの類似度を算出し、ベンダＡの△印の数値ベクトルに追加する。同様に、レベル推定部１４は、ベンダＢの□印の数値ベクトルと、ベンダＢの〇印の数値ベクトルとの類似度を算出し、ベンダＢの□印の数値ベクトルに追加する。また、レベル推定部１４は、ベンダＢの☆印の数値ベクトルと、ベンダＢの〇印の数値ベクトルとの類似度を算出し、ベンダＢの☆印の数値ベクトルに追加する。

　次に、レベル推定部１４は、数値ベクトルのうち、レベルが既知のイベントの数値ベクトルを教師データとして用いて機械学習を行い、分類器を構築する。なお、レベル推定部１４は、教師データとしてレベルが比較的低いイベントの数値ベクトルが得られない場合には、レベルが不明なイベントの数値ベクトルを、レベルが低いイベントの数値ベクトルとして扱い、機械学習を行ってもよい。レベルが不明なイベントの数値ベクトル群における、実際のレベルが高いイベントの数値ベクトルの割合が低いことが予め分かっていれば、上記の方法でも問題ない。

　そして、レベル推定部１４は、構築した分類器を用いて、各数値ベクトルの示すイベントのレベルを推測する。

　すなわち、レベル推定部１４は、まず、数値ベクトルそれぞれについて、同じベンダの共通イベントの数値ベクトルとの類似度を算出する。次に、レベル推定部１４は、数値ベクトルそれぞれに、当該数値ベクトルと同じベンダの共通イベントの数値ベクトルとの類似度を付加した情報を作成する。そして、レベル推定部１４は、作成した情報と、数値ベクトルのうち少なくともいずれかの数値ベクトルのイベントのレベルとを教師データとして用いて機械学習を行い、各数値ベクトルの示すイベントのレベルを推定するための分類器を構築する。その後、レベル推定部１４は、構築した分類器を用いて、各数値ベクトルの示すイベントのレベルを推定する。このようなレベル推定方法によれば、イベントのレベル推定に用いる分類器の構築に、一般的な教師ありの機械学習を用いることが可能であるため、分類器の構築が比較的容易であるというメリットがある。

　なお、レベル推定部１４は、類似度として、数値ベクトルの類似度を使用する場合を例に説明したが、例えば、キーワード、送信元、宛先の一致性やイベントの共起性等を使用してもよい。また、レベル推定部１４、数値ベクトルにすべての共通イベントとの類似度を追加することが考えられるが、一部の共通イベントとの類似度のみを追加してもよい。

　なお、レベル推定部１４は、前記した第１の実施形態と同様に、レベルが不明なイベントの数値ベクトル作成部１３のレベルのみ推定してもよいが、すべてのイベントの数値ベクトルのレベルを推定してもよい。

［第３の実施形態］
　次に、図９を参照しながら、第３の実施形態のレベル推定装置１０におけるレベル推定部１４におけるレベルの推定方法を説明する。

　なお、レベル推定装置１０は、第１の実施形態のレベル推定装置１０と同様に、各セキュリティ機器で検知したイベントのイベントログの集約を行う。例えば、レベル推定装置１０は、ベンダＡのセキュリティ機器のイベントログをイベントごとに集約し、例えば、図９の符号９０２に示す△印の数値ベクトルと、〇印の数値ベクトルとを得る。また、レベル推定装置１０は、ベンダＢのセキュリティ機器のイベントログをイベントごとに集約し、図９の符号９０２に示す☆印の数値ベクトルと、□印の数値ベクトルと、〇印の数値ベクトルとを得る。なお、図９において〇印の数値ベクトルはベンダＡ，Ｂに共通するイベント（共通イベント）の数値ベクトルである。

　まず、レベル推定部１４は、イベントのレベルが既知の数値ベクトルとそのレベルを教師データとして、各数値ベクトルの示すイベントのレベルを推定する分類器を構築する。ここで構築される分類器は、数値ベクトルを所定の埋め込みベクトルへ変換し、変換した埋め込みベクトルを用いて、各埋め込みベクトルの示すイベントのレベルの推定を行う分類器である。

　この分類器は、例えば、図９の符号９０１に示すように、数値ベクトルを埋め込みベクトルに変換するニューラルネットワークと、変換された埋め込みベクトルを用いて、各埋め込みベクトルの示すイベントのレベルを推定するニューラルネットワークとを備える。

　レベル推定部１４は、上記の分類器により変換された埋め込みベクトルを用いて、当該埋め込みベクトル同士の類似度を算出する。そして、レベル推定部１４は、算出した埋め込みベクトル同士の類似度に基づき、分類器の調整を行う。ここでの分類器の調整は、以下の条件を満たすように行う。

（１）同じベンダの埋め込みベクトル間の類似関係を保存する。
（２）異なるベンダで検知された同一のイベント（共通イベント）の埋め込みベクトル同士が類似する。

　上記のような分類器の調整により、例えば、符号９０２に示す埋め込みベクトルの空間は、符号９０３に示すように、共通イベントの埋め込みベクトル同士の類似度が高く、かつ、同じベンダの埋め込みベクトル間の類似関係が保たれた状態になる。そして、レベル推定部１４は、調整された分類器を用いて、数値ベクトルの示すイベントのレベルを推定する。

　なお、レベル推定部１４は、前記した第１の実施形態および第２の実施形態と同様に、レベルが不明なイベントの数値ベクトルのレベルのみ推定してもよいが、すべてのイベントの数値ベクトルのレベルを推定してもよい。

　第３の実施形態におけるレベルの推定方法は、数値ベクトル間の類似度の算出方法が明確ではない場合でも、各イベントのレベルを推定できるというメリットがある。

［適用例］
　各実施形態のレベル推定装置１０を用いることで、例えば、SOC（Security　Operation　Center）でインシデントを特定するためのアラート（イベントログ）の解析を効率的に行うことができる。このことを、図１０および図１１を用いて説明する。

　まず、図１０を用いてSOCを含むシステムの構成例を説明する。システムは、例えば、顧客環境と、SIEM（Security　Information　and　Event　Management）と、SOCとを含む。

　顧客環境において、各顧客にはUTM（Unified　Threat　Management）等のセキュリティアプライアンス（以下、アプライアンスと略す）が導入されている。アプライアンスのベンダは顧客ごとに異なっている。例えば、顧客１，２にはベンダＡのアプライアンスが導入されており、顧客３にはベンダＢのアプライアンスが導入されている。各アプライアンスがセキュリティイベントを検知すると、これを通知するアラートをSIEMに送信する。また、各アプライアンスは、セキュリティイベントを検知した際の通信ログをSIEMに送信する。

　SIEMは、各顧客の通信ログにSOCで開発された検知ルール（SOCのルール）を適用し、当該ルールによりセキュリティイベントを検知すると、アラートをSOCに送信する。また、SIEMは、各顧客のアプライアンスから送信されたアラートも同様にSOCに送信する。

　その後、各実施形態のレベル推定装置１０は、SOCが受信したアラートと、SOCの解析者が設定したイベントのレベルを用いて、各アラートの示すイベントのレベルを推定する。なお、レベルはインシデントとの関連によって予め設定されているものを用いる。

　そして、SOCに送信されたアラートの解析を行う解析者は、上記のレベル推定装置１０により推定された各アラートのイベントのレベルに基づき、どのアラートから順に解析を行うべきかを判断する。これにより、例えば、解析者は、よりレベルの高いイベントのアラートから順に解析するよう順番を調整することができる。その結果、例えば、解析者が、アラートの到着順に解析するより、インシデントの特定までの時間を削減することができる（図１１参照）。

［プログラム］
　また、上記の実施形態で述べたレベル推定装置１０の機能を実現するプログラムを所望の情報処理装置（コンピュータ）にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置をレベル推定装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistants）等がその範疇に含まれる。また、レベル推定装置１０を、クラウドサーバに実装してもよい。

　図１２を用いて、上記のプログラム（レベル推定プログラム）を実行するコンピュータの一例を説明する。図１２に示すように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ（Random　Access　Memory）１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。ディスクドライブ１１００には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１１１０およびキーボード１１２０が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１１３０が接続される。

　ここで、図１２に示すように、ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ１０９０やメモリ１０１０に記憶される。

　そして、ＣＰＵ１０２０が、ハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、上記のレベル推定プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

１０　レベル推定装置
１１　ログ受信部
１２　ログ集約部
１３　数値ベクトル作成部
１４　レベル推定部
１５　レベル出力部

Claims

　機器またはソフトウェアが検知したイベントのイベントログを受信するログ受信部と、
　前記イベントログを用いて前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定するレベル推定部とを備え、
　前記イベント同士の類似度の算出において、異なる機器またはソフトウェアで検知されたイベント同士の類似度を算出する際、前記異なる機器またはソフトウェアで共通に検知されたイベントである共通イベントとの類似度を用いる
　ことを特徴とするレベル推定装置。
　前記レベル推定部は、
　前記イベント同士の類似度を算出する際、同じ機器またはソフトウェアで検知されたイベント同士の類似関係を保ちつつ、前記異なる機器またはソフトウェアで検知された同一のイベント同士の類似度が所定値以上となるようなベクトル空間を用いて、前記イベント同士の類似度を算出する
　ことを特徴とする請求項１に記載のレベル推定装置。
　前記レベル推定部は、
　前記イベントそれぞれについて、前記イベントを検知した機器またはソフトウェアと同じ機器またはソフトウェアが検知した前記共通イベントとの類似度を算出し、前記イベントの特性を表す情報それぞれに、前記イベントを検知した機器またはソフトウェアと同じ機器またはソフトウェアが検知した前記共通イベントとの類似度を付加した情報を作成し、前記作成した情報と、前記イベントのうち少なくともいずれかのイベントのレベルとを教師データとし、前記イベントのレベルを推定するための分類器を構築し、前記構築した分類器を用いて、所定のイベントのレベルを推定する
　ことを特徴とする請求項１に記載のレベル推定装置。
　前記レベル推定部は、
　レベルが既知の前記イベントと当該イベントのレベルとを教師データとして、前記イベントごとのイベントログの所定の数値ベクトルへの変換と、前記変換後の数値ベクトルを用いて所定のイベントのレベルの推定とを行う分類器を構築し、前記構築された分類器により変換された数値ベクトルを用いて、前記イベント同士の類似度を算出し、前記算出した前記イベント同士の類似度に基づき、同じ機器またはソフトウェアで検知されたイベント同士の類似関係を保ちつつ、前記異なる機器またはソフトウェアで検知された同一のイベント同士の類似度が所定値以上となるよう、前記分類器の調整を行い、前記調整が行われた分類器を用いて、所定のイベントのレベルを推定する
　ことを特徴とする請求項１に記載のレベル推定装置。
　前記異なる機器またはソフトウェアは、異なるベンダの機器またはソフトウェアであり、
　前記同じ機器またはソフトウェアは、同じベンダの機器またはソフトウェアである
　ことを特徴とする請求項１に記載のレベル推定装置。
　レベル推定装置により実行されるレベル推定方法であって、
　機器またはソフトウェアが検知したイベントのイベントログを受信する工程と、
　前記イベントログを用いて前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定する工程とを含み、
　前記イベント同士の類似度の算出において、異なる機器またはソフトウェアで検知されたイベント同士の類似度を算出する際、前記異なる機器またはソフトウェアで共通に検知されたイベントである共通イベントとの類似度を用いる
　ことを特徴とするレベル推定方法。
　機器またはソフトウェアが検知したイベントのイベントログを受信するステップと、
　前記イベントログを用いて前記イベントログの示すイベント同士の類似度を算出し、前記算出したイベント同士の類似度と、前記イベントのうち少なくともいずれかのイベントのレベルとに基づき、所定のイベントのレベルを推定するステップとをコンピュータに実行させ、
　前記イベント同士の類似度の算出において、異なる機器またはソフトウェアで検知されたイベント同士の類似度を算出する際、前記異なる機器またはソフトウェアで共通に検知されたイベントである共通イベントとの類似度を用いる
　ことを特徴とするレベル推定プログラム。