WO2024009741A1

WO2024009741A1 - セキュリティ監視装置、セキュリティ監視方法、および、プログラム

Info

Publication number: WO2024009741A1
Application number: PCT/JP2023/022560
Authority: WO
Inventors: 達海大庭; 裕幸岡田
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2022-07-05
Filing date: 2023-06-19
Publication date: 2024-01-11

Abstract

本開示の一態様に係るセキュリティ監視装置は、第１のセキュリティ製品が脅威を検知することで発生させた第１のアラートと、第１のセキュリティ製品とは異なる第２のセキュリティ製品が脅威を検知することで発生させた第２のアラートとを受け付ける受付部と、第１のアラートと第２のアラートとの類似度を算出する類似度算出部と、第１のアラートと第２のアラートとの類似度に基づいて、第１のアラートと第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する第１判定部と、を備える。

Description

セキュリティ監視装置、セキュリティ監視方法、および、プログラム

　本開示は複数のセキュリティ製品から生じるアラートを集約する技術に関する。

　従来、セキュリティ上の攻撃検知を行う侵入検知システム（ＩＤＳ：Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）は、観測されるデータ列に特定のパターンを含むか否かを判断する、いわゆるシグネチャ型ＩＤＳと呼ばれるものが主流である。

　しかし、マルウェアの亜種の作成が容易になり、標的型攻撃が高度化するに伴い、シグネチャ型ＩＤＳでは捉えられない攻撃の割合が増えてきており、セキュリティ監視側も異なる対策が求められるようになってきている。

　その対策の１つがＵＥＢＡ（Ｕｓｅｒ　ａｎｄ　ｅｎｔｉｔｙ　ｂｅｈａｖｉｏｒ　ａｎａｌｙｔｉｃｓ）と呼ばれるソフトウェア群である。

　ＵＥＢＡはシグネチャ型ＩＤＳとは異なり、よく利用される攻撃手段の特徴を広く捉える攻撃検知モデルを有しており、ＵＥＢＡは入力されるログデータをもとに各攻撃検知モデルを用いて検知を実施する。各攻撃検知モデルはシグネチャ型ＩＤＳのように単一データ内のパターンを検査するだけではなく、一定の期間に含まれる複数のデータが特定の条件に合致するか否かを判断して検知を行う。

　ＵＥＢＡの攻撃検知モデルはその性質上、製品によって検知する脅威の範囲または条件が異なる。そのため将来的には複数のＵＥＢＡを用いて、より広範囲の脅威を高い精度で検知する仕組みを採用することが考えられる。その際、複数のＵＥＢＡ製品が同一の脅威を検知してアラートを発生させた場合には、それらのアラートを集約して分析を行うことで分析の効率を高めることができる。

　特許文献１には、セキュリティ製品が検知した同一の脅威を集約する技術を用いることで同一のセキュリティ製品から生じた関連アラートの抽出を行う構成が開示されている。

特許第６５１５０４８号公報

Ａｌｅｃ　Ｒａｄｆｏｒｄ，　ｅｔ．　ａｌ．，　"Ｉｍｐｒｏｖｉｎｇ　Ｌａｎｇｕａｇｅ　Ｕｎｄｅｒｓｔａｎｄｉｎｇ　ｂｙ　Ｇｅｎｅｒａｔｉｖｅ　Ｐｒｅ－Ｔｒａｉｎｉｎｇ"，　インターネット（ｈｔｔｐｓ：／／ｓ３－ｕｓ－ｗｅｓｔ－２．ａｍａｚｏｎａｗｓ．ｃｏｍ／ｏｐｅｎａｉ－ａｓｓｅｔｓ／ｒｅｓｅａｒｃｈ－ｃｏｖｅｒｓ／ｌａｎｇｕａｇｅ－ｕｎｓｕｐｅｒｖｉｓｅｄ／ｌａｎｇｕａｇｅ＿ｕｎｄｅｒｓｔａｎｄｉｎｇ＿ｐａｐｅｒ．ｐｄｆ）

　しかしＵＥＢＡの性質上、複数のＵＥＢＡそれぞれがアラートを発生させた場合に、各アラートが、同一の脅威が検知されて発生されたアラートであるか否かを判断することは特に難しい。

　特許文献１に開示されている構成では、同一のセキュリティ製品から生じた関連アラートの抽出を行うことはできるが、複数のセキュリティ製品が、同一の脅威を検知することでアラートを発生させたか否かを判定することはできない。

　そこで本開示は、複数のセキュリティ製品それぞれがアラートを発生させた場合に、それらのアラートが、同一の脅威が検知されて発生されたアラートであるか否かを判定できるセキュリティ監視装置等を提供する。

　本開示の一態様に係るセキュリティ監視装置は、第１のセキュリティ製品が脅威を検知することで発生させた第１のアラートと、前記第１のセキュリティ製品とは異なる第２のセキュリティ製品が脅威を検知することで発生させた第２のアラートとを受け付ける受付部と、前記第１のアラートと前記第２のアラートとの類似度を算出する類似度算出部と、前記第１のアラートと前記第２のアラートとの類似度に基づいて、前記第１のアラートと前記第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する第１判定部と、を備える。

　本開示の一態様に係るセキュリティ監視方法は、第１のセキュリティ製品が脅威を検知することで発生させた第１のアラートと、前記第１のセキュリティ製品とは異なる第２のセキュリティ製品が脅威を検知することで発生させた第２のアラートとを受け付け、前記第１のアラートと前記第２のアラートとの類似度を算出し、前記第１のアラートと前記第２のアラートとの類似度に基づいて、前記第１のアラートと前記第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する。

　本開示の一態様に係るプログラムは、上記記載のセキュリティ監視方法をコンピュータが実行するための、プログラムである。

　本開示の一態様に係るセキュリティ監視装置等によると、複数のセキュリティ製品が発生させたアラートが、同一の脅威が検知されて発生されたアラートであるか否かを判定できる。

図１は、実施の形態におけるセキュリティシステムの構成の一例を示すブロック図である。図２は、実施の形態における同一脅威アラート特定部の構成の一例を示すブロック図である。図３Ａは、実施の形態における同一脅威アラート特定部の他の構成の一例を示すブロック図である。図３Ｂは、実施の形態における同一脅威アラート特定部の他の構成の一例を示すブロック図である。図４は、実施の形態における同一脅威アラート判定処理を示すフローチャートである。図５は、実施の形態におけるＩＤＦ学習処理を示すフローチャートである。図６は、実施の形態におけるＴＦ―ＩＤＦを用いた類似度算出処理を示すフローチャートである。図７は、実施の形態における注目語を用いた類似度算出処理を示すフローチャートである。図８は、実施の形態における注目語リストの一例を示す図である。図９は、実施の形態における攻撃分類モデル学習処理を示すフローチャートである。図１０は、実施の形態におけるサイバー攻撃の分類の一例を示す図である。図１１は、実施の形態における脅威インテリジェンス情報の一例を示す図である。図１２は、実施の形態における攻撃分類モデルを用いた類似度算出処理を示すフローチャートである。図１３は、実施の形態における、攻撃ベクトルの算出を説明するための図である。図１４は、実施の形態における過去の攻撃の検知情報を用いた特徴量抽出処理を示すフローチャートである。図１５Ａは、実施の形態における攻撃の検知情報の一例を説明するための図である。図１５Ｂは、実施の形態における攻撃の検知情報のアラート発生時刻の一例を説明するための図である。図１６は、実施の形態における特徴量を用いた類似度算出処理を示すフローチャートである。図１７は、実施の形態における大規模言語モデルを用いてセキュリティ製品が用いる検知モデル説明文の類似度を算出する具体例を説明するための図である。

　（本開示の一態様を得るに至った経緯）
　マルウェアの検出回避機能の発達、および、多くのマルウェアの亜種が出回るようになった昨今、シグネチャ型のＩＤＳだけでは多くの脅威を見逃してしまうため、脅威のふるまいを定義して検知を行うＵＥＢＡ等を用いたセキュリティ製品が多くの場面で採用されるようになってきている。

　ＵＥＢＡは、機械学習モデル（検知モデル）を搭載しており、機械学習モデルは、監視対象のデバイスごとの正常時のふるまいを学習して、異常なふるまいを定量化して脅威を検知する仕組みを備えている。それゆえにセキュリティ製品ごとに検知する脅威にバラつきがある。

　セキュリティ製品の性能にバラつきがあるということは、それぞれＵＥＢＡを用いる複数のセキュリティ製品（複数のＵＥＢＡ製品）を導入すると、検知できる脅威の範囲を広げ、検知される脅威の確度を高めることができる。特に複数のＵＥＢＡ製品が同一の脅威を検知した場合には、高い確信度でその脅威が発生していると判断できる。

　しかし、複数のセキュリティ製品のそれぞれは入力または出力に仕様の差がある。そのため、複数のアラートが、同一の脅威が検知されることで発生されたアラートであるか否かを容易に判断することができない。

　そこで本願発明者らは、この課題を解決すべく鋭意検討を重ねた。そして本願発明者らは、例えばＵＥＢＡを含む複数のセキュリティ製品のそれぞれがアラートを発生させた場合に、それらのアラートが、同一の脅威が検知されて発生されたアラートであるか否かを判定できる装置等を見出した。具体的には、本願発明者らは、複数のアラートが、同一の脅威が検知されて発生されたか否かの判定に、各セキュリティ製品がアラートを発生させる際に表示（出力）される、各セキュリティ製品が脅威の検知に用いる検知モデルの説明文、および／または、当該検知モデルの過去の検知状況等の類似度が利用できることを見出した。

　例えばセキュリティ製品ごとに、検知モデルの説明文において、同じ意味の言葉に対して異なる用語を用いる場合がある。あるいは、検知モデルの説明文全体の文章構造は似ていても、明確に異なる攻撃（脅威）を検知しようとしている検知モデルが存在する場合がある。そのため、検知モデルの説明文が類似していることを用いて検知モデル間の類似度を判定する上では、一般的な言語モデルを用いて算出された説明文間の類似性は、セキュリティ製品が検知しようとする脅威の類似度に必ずしも相当しない。

　そこで本開示ではそれらの問題を解決するためのセキュリティ監視装置等を提供する。

　上記セキュリティ監視装置によると、セキュリティ製品群がアラートを発生させた場合に、各セキュリティ製品が同一の脅威を検知することで発生させたと考えられるアラートを高い確度で集約することができる。そのため、同一の脅威に対する分析を効率的に行うことが可能となる。

　以下、本開示の一態様に係るセキュリティ監視装置およびセキュリティ監視方法の具体例について、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、構成要素、構成要素の配置および接続形態、並びに、ステップ（工程）およびステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態）
　以下、実施の形態に係るセキュリティ監視装置およびセキュリティ監視方法について説明する。実施の形態に係るセキュリティ監視装置およびセキュリティ監視方法は、複数のセキュリティ製品が発生させたアラートの同一性判定処理を行う。具体的には、実施の形態に係るセキュリティ監視装置およびセキュリティ監視方法は、複数のセキュリティ製品のアラートが同一の脅威を検知したものか否かを判定する。

　［構成］
　まず、セキュリティ監視装置の一例である同一脅威アラート特定部の構成について説明する。

　図１は、本実施の形態におけるセキュリティシステム１０の構成の一例を示すブロック図である。

　図１において、例えば、セキュリティシステム１０は、ＳＩＥＭ（Ｓｅｃｕｒｉｔｙ　Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｅｖｅｎｔ　Ｍａｎａｇｅｍｅｎｔ）２００、セキュリティ製品３００ａおよび３００ｂ、Ｌ２ＳＷ（Ｌａｙｅｒ　２　Ｓｗｉｔｃｈ）４００、並びに、監視対象ネットワーク５００で構成される。

　Ｌ２ＳＷ４００は、ネットワークを中継する機能を有する機器であり、複数のミラーポートを備えている。

　監視対象ネットワーク５００は、セキュリティ製品３００ａ、３００ｂが監視を行うネットワークである。監視対象ネットワーク５００は、Ｌ２ＳＷ４００に接続される。監視対象ネットワーク５００に流れるフレーム（ログデータ）は、Ｌ２ＳＷ４００を経由してセキュリティ製品３００ａ、３００ｂに送付される。

　セキュリティ製品３００ａ、３００ｂは、脅威のふるまいを定義して検知を行うＵＥＢＡ製品である。セキュリティ製品３００ａ、３００ｂはそれぞれ、Ｌ２ＳＷ４００のミラーポートに接続され、Ｌ２ＳＷ４００を介して監視対象ネットワーク５００から出力されるログデータを取得する。

　なお、本実施の形態では、セキュリティシステム１０が備えるセキュリティ製品は２つとして説明するが、一例であり、セキュリティシステム１０が備えるセキュリティ製品は３つ以上であってもよい。

　ＳＩＥＭ２００は、セキュリティ製品３００ａ、３００ｂと通信可能に接続され、セキュリティ製品３００ａ、３００ｂから出力されるアラートを取得し、管理および／または分析を行うシステムである。ＳＩＥＭ２００は、同一脅威アラート特定部１００を備える。

　セキュリティ製品３００ａ、３００ｂはそれぞれ、取得したログデータを用いて攻撃（脅威）の検知を実施し、攻撃を検知するとアラートをＳＩＥＭ２００に出力する。

　ＳＩＥＭ２００は、取得したアラートを同一脅威アラート特定部１００に入力し、その出力結果を分析に用いる。

　続いて、実施の形態に係るセキュリティ監視装置の構成について説明する。

　＜第１例＞
　図２は、本実施の形態における同一脅威アラート特定部１００の構成の一例を示すブロック図である。

　図２において、同一脅威アラート特定部１００は、判定対象アラート受付部１０１、同一脅威アラート候補抽出部１０２、自明な同一脅威アラート判定部１０３、アラート間類似度算出部１０５、同一脅威アラート判定部１０４、セキュリティ文書情報受付部１１２、ＩＤＦ（Ｉｎｖｅｒｓｅ　Ｄｏｃｕｍｅｎｔ　Ｆｒｅｑｕｅｎｃｙ）学習部１１３、および、ＩＤＦ保持部１１４を含んで構成される。判定対象アラート受付部１０１、同一脅威アラート候補抽出部１０２、自明な同一脅威アラート判定部１０３、アラート間類似度算出部１０５、同一脅威アラート判定部１０４、セキュリティ文書情報受付部１１２、および、ＩＤＦ学習部１１３等の各処理部は、例えば、プロセッサと、当該プロセッサが実行する制御プログラムを記憶する半導体メモリ等のメモリとにより実現される。ＩＤＦ保持部１１４等の記憶装置は、例えば、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等により実現される。

　また、同一脅威アラート特定部１００は、セキュリティ監視装置の一例である。また、判定対象アラート受付部１０１は、受付部の一例である。同一脅威アラート候補抽出部１０２は、抽出部の一例である。また、自明な同一脅威アラート判定部１０３は、第２判定部の一例である。また、同一脅威アラート判定部１０４は、第１判定部の一例である。また、アラート間類似度算出部１０５は、類似度算出部の一例である。

　判定対象アラート受付部１０１は、セキュリティ製品３００ａまたはセキュリティ製品３００ｂから判定対象アラート１２１（単にアラートともいう）を受け付ける。判定対象アラート受付部１０１は、受け付けたアラートを同一脅威アラート候補抽出部１０２に通知する。

　判定対象アラート１２１は、セキュリティ製品３００ａ、３００ｂが検知した脅威に関するアラート（情報）である。例えば、アラートには、アラート発生時刻、脅威として検知されたデバイス（例えば、攻撃を受けたデバイス）のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレス、および、アラートがどのような事象（脅威）を検知したものであるかを説明する検知モデル説明文が少なくとも含まれる。検知モデルとは、セキュリティ製品３００ａ、３００ｂがそれぞれ有し、脅威を検知するための学習モデルである。検知モデル説明文とは、セキュリティ製品が検知した脅威を説明する文章である。具体的には、検知モデル説明文は、セキュリティ製品３００ａ、３００ｂが検知モデルを用いて脅威を検知した際に、当該脅威の内容を説明する文章である。検知モデル説明文は、例えば、「Ａ　ｄｅｖｉｃｅ　ｉｓ　ｒｅｐｅａｔｅｄｌｙ　ｃｏｍｍｕｎｉｃａｔｉｎｇ　ｗｉｔｈ　ａ　ｅｘｔｅｒｎａｌ　ｌｏｃａｔｉｏｎ　ｗｉｔｈ　ｅｎｃｒｙｐｔｅｄ　ｃｈａｎｎｅｌ．　Ｔｈｅｒｅ　ｉｓ　ａ　ｒｉｓｋ　ｏｆ　ｔｈｅ　ｄａｔａ　ｂｅｉｎｇ　ｔｒａｎｓｍｉｔｔｅｄ．」である。

　同一脅威アラート候補抽出部１０２は、通知されたアラートに対し、同一性（具体的には、各アラートが、同一の脅威が検知されることで発生されたアラートであるか否か）を判定する必要があるアラートの候補の絞り込みを行う。

　例えば、同一性のあるアラート、つまり、同一の脅威が検知されることで発生されたアラート（同一脅威アラートともいう）の候補の条件は、セキュリティ製品３００ａから通知されるアラートとセキュリティ製品３００ｂから通知されるアラートとの発生時刻が６０分以内であること、および／または、脅威として検知されたデバイスのＩＰアドレスが同一であることである。同一脅威アラート候補抽出部１０２は、例えば、このような条件を満たすアラートを、アラートの候補（具体的には、同一脅威アラートの候補）として抽出する。アラートの候補の絞り込みの条件は、予め定義されており、同一脅威アラート候補抽出部１０２は、その条件に従って同一脅威アラートの候補を抽出する。当該条件は、所定の条件の一例である。このように、同一脅威アラート候補抽出部１０２は、判定対象アラート受付部１０１が受け付けた複数のアラートの中から、所定の条件に基づいてアラートの候補を抽出する。

　同一脅威アラート候補抽出部１０２は、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとを、自明な同一脅威アラート判定部１０３に通知する。なお、セキュリティ製品が３つ以上存在する場合であって、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとの数が複数の場合には、同一脅威アラート候補抽出部１０２は、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとを含む複数のアラートをアラート群として自明な同一脅威アラート判定部１０３に通知する。

　自明な同一脅威アラート判定部１０３は、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとが自明な同一脅威アラートであるか否かを判定する。

　自明な同一脅威アラートとは、例えば脅威（攻撃）を検知した全てのセキュリティ製品（本実施の形態ではセキュリティ製品３００ａおよびセキュリティ製品３００ｂ）の検知モデルが特定のマルウェアの検知に特化したものである場合等、明らかに同一の脅威が検知された際に出力され得るアラートである。このようなマルウェアを検知する、等を示す、セキュリティ製品が脅威を検知するための検知モデルがどのような脅威を検知するかを示す情報（製品情報）は、同一脅威アラート特定部１００が備えるメモリに予め記憶されていてもよいし、セキュリティ製品３００ａ、３００ｂから同一脅威アラート特定部１００に送信されてもよい。このように、自明な同一脅威アラート判定部１０３は、セキュリティ製品３００ａ、３００ｂに関する製品情報に基づいて、各アラートが、同一の脅威が検知されることで出力されたアラートであるか否かを判定する。

　通知されたアラートと同一脅威アラートの候補として抽出されたアラートとが自明な同一脅威アラートであると判定された場合、自明な同一脅威アラート判定部１０３は、同一脅威アラート情報１２２を出力する。同一脅威アラート情報１２２は、各アラートが同一の脅威が検知されることで発生されたアラートであることを示す情報である。例えば、セキュリティ製品３００ａが出力する（発生させる）アラート（アラートＩＤ：ａ－００１０）とセキュリティ製品３００ｂが出力する（発生させる）アラート（アラートＩＤ：ｂ－０００８）とが同一だと判定された場合、自明な同一脅威アラート判定部１０３は、同一脅威アラート情報１２２として、（ａ－００１０，ｂ－０００８）のようなリスト形式で表される情報を出力する。例えば、自明な同一脅威アラート判定部１０３は、ＳＩＥＭ２００が備える、脅威を分析する処理部にこのような同一脅威アラート情報１２２を出力する。

　通知されたアラートと同一脅威アラートの候補として抽出されたアラートとが自明な同一脅威アラートであると判定されなかった場合、自明な同一脅威アラート判定部１０３は、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとをアラート間類似度算出部１０５に通知する。

　アラート間類似度算出部１０５は、通知された各アラートの類似度を算出する。具体的には、アラート間類似度算出部１０５は、同一脅威アラート候補抽出部１０２によって抽出された候補である各アラートの類似度を算出する。より具体的には、アラート間類似度算出部１０５は、同一脅威アラート候補抽出部１０２によって抽出された候補である各アラートであって、自明な同一脅威アラート判定部１０３によって自明な同一脅威アラートであると判定されなかった各アラートの類似度を算出する。本例では、アラート間類似度算出部１０５は、通知されたアラートの検知モデル説明文と同一脅威アラートの候補として抽出されたアラートの検知モデル説明文とを用いて、各アラートの類似度を算出する。

　より具体的には、アラート間類似度算出部１０５は、各アラートの検知モデル説明文から単語を抽出し、ＩＤＦ保持部１１４に保持される、抽出した単語のそれぞれに対応づけられたＩＤＦ値を抽出する。

　アラート間類似度算出部１０５は、各アラートの検知モデル説明文（より具体的には、検知モデル説明文から抽出した単語）に対して抽出されたＩＤＦ値を用いてＴＦ－ＩＤＦ（Ｔｅｒｍ　Ｆｒｅｑｕｅｎｃｙ－Ｉｎｖｅｒｓｅ　Ｄｏｃｕｍｅｎｔ　Ｆｒｅｑｕｅｎｃｙ）ベクトルを算出する。ＩＤＦ値の抽出には、セキュリティに関する文書を示す文書情報（セキュリティ文書情報）が用いられる。例えば、アラート間類似度算出部１０５は、文書情報に含まれる単語のＩＤＦ値を用いて算出された、各検知モデル説明文のそれぞれのＴＦ－ＩＤＦベクトルに基づいて、各アラートの類似度を算出する。

　アラート間類似度算出部１０５は、各アラートの検知モデル説明文に対するＴＦ－ＩＤＦベクトルを用いて、ＴＦ－ＩＤＦベクトル間のコサイン類似度を算出する。

　アラート間類似度算出部１０５は、算出したコサイン類似度を同一脅威アラート判定部１０４に通知する。

　同一脅威アラート判定部１０４は、各アラートの類似度に基づいて、各アラートが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する。本例では、同一脅威アラート判定部１０４は、通知されたコサイン類似度と予め定義された閾値とを比較することで、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとが同一脅威アラートであるか否かを判定する。通知されたコサイン類似度が予め定義された閾値を超えている場合、同一脅威アラート判定部１０４は、同一脅威アラートであると判定し、同一脅威アラート情報１２２を出力する。一方、通知されたコサイン類似度が閾値以下の場合、同一脅威アラート判定部１０４は、同一脅威アラートではないと判定する。例えば、通知されたコサイン類似度が閾値以下の場合、同一脅威アラート判定部１０４は、同一脅威アラート情報１２２を出力しない。例えば、同一脅威アラート判定部１０４は、ＳＩＥＭ２００が備える、脅威を分析する処理部に同一脅威アラート情報１２２を出力する。これにより、当該処理部において、同一脅威アラート情報１２２に基づいて脅威が分析される。例えば、分析された結果は、管理者が用いるコンピュータ等に送信され、管理者は、分析結果に基づいて、脅威に対する対策を行う。

　ＩＤＦ保持部１１４は、セキュリティ文書情報１２５が学習され、セキュリティ文書情報１２５に含まれる単語のＩＤＦが学習された結果であるＩＤＦ値を保持する。

　ＩＤＦの学習は、同一脅威アラート特定部１００で予めされていてもよいし、アラート間の類似度を算出する際に同一脅威アラート特定部１００がしてもよいし、同一脅威アラート特定部１００でされなくてもよい。本実施の形態では、同一脅威アラート特定部１００で予め学習する場合について説明する。

　セキュリティ文書情報受付部１１２は、セキュリティ文書情報１２５を受け付ける。セキュリティ文書情報１２５は、インターネット等で公開されているセキュリティブログの文章を示す情報である。セキュリティ文書情報受付部１１２は、受け付けたセキュリティ文書情報１２５をＩＤＦ学習部１１３に通知する。

　ＩＤＦ学習部１１３は、受け付けたセキュリティ文書情報１２５から単語を抽出し、抽出した単語に対してクラスタリングを行い、クラスタＩＤにマッピングする。ＩＤＦ学習部１１３は、受け付けたセキュリティ文書情報１２５の各単語のクラスタＩＤを用いてＩＤＦを学習し、ＩＤＦ値を得る。ＩＤＦ学習部１１３は、学習で得られたＩＤＦ値をＩＤＦ保持部１１４に保持させる。

　＜第２例＞
　図３Ａは、本実施の形態における同一脅威アラート特定部の構成の他の一例を示す図である。なお、同一脅威アラート特定部１００と同一の構成については同じ符号を付与し、その説明を省略する。

　図３Ａにおいて、同一脅威アラート特定部１０００は、判定対象アラート受付部１０１、同一脅威アラート候補抽出部１０２、自明な同一脅威アラート判定部１０３、同一脅威アラート判定部１０４、アラート間類似度算出部２０５、脅威インテリジェンス受付部１０９、攻撃分類モデル学習部１１０、および、攻撃分類モデル保持部１１１を含んで構成される。アラート間類似度算出部２０５、脅威インテリジェンス受付部１０９、および、攻撃分類モデル学習部１１０等の各処理部は、例えば、プロセッサと、当該プロセッサが実行する制御プログラムを記憶する半導体メモリ等のメモリとにより実現される。攻撃分類モデル保持部１１１は、例えば、ＨＤＤ等により実現される。

　また、同一脅威アラート特定部１０００は、セキュリティ監視装置の一例である。また、アラート間類似度算出部２０５は、類似度算出部の一例である。

　アラート間類似度算出部２０５は、攻撃分類モデル保持部１１１に保持される攻撃分類モデルを用いて、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとの類似度を算出する。

　攻撃分類モデル保持部１１１は、サイバー攻撃（脅威）の分類（攻撃分類ともいう）を示す分類情報と、攻撃分類のそれぞれに対して、攻撃の概要を説明した文書が紐づけられた情報とを含む脅威インテリジェンス情報１２４を用いて学習された攻撃分類モデルを保持している。

　攻撃分類モデルの学習は、同一脅威アラート特定部１０００で予めされていてもよいし、アラート間の類似度を算出する際に同一脅威アラート特定部１０００がしてもよいし、同一脅威アラート特定部１０００でされなくてもよい。本実施の形態では、同一脅威アラート特定部１０００で予め学習する場合について説明する。

　脅威インテリジェンス受付部１０９は、分類情報と分類の内容（攻撃の概要）を含む脅威インテリジェンス情報１２４を受け付ける。脅威インテリジェンス受付部１０９は、受け付けた脅威インテリジェンス情報１２４を攻撃分類モデル学習部１１０に通知する。

　攻撃分類モデル学習部１１０は、受け付けた分類情報と分類の内容（攻撃の概要）とを含む脅威インテリジェンス情報１２４を用いて攻撃分類モデルを学習する。攻撃分類モデル学習部１１０は、学習した攻撃分類モデルを攻撃分類モデル保持部１１１に保持する。

　アラート間類似度算出部２０５は、各アラートに含まれる検知モデル説明文を攻撃分類モデルに入力することで、各検知モデル説明文の攻撃ベクトル（攻撃分類ベクトル）を取得する。アラート間類似度算出部２０５は、取得した攻撃ベクトルに基づいて、各アラートの類似度を算出する。

　以上のように、本例では、アラート間類似度算出部２０５は、脅威の分類を示す分類情報と、当該分類の内容と、を示す脅威インテリジェンス情報１２４を用いて学習された攻撃分類モデルを利用して算出した、各検知モデル説明文とのそれぞれの、脅威の分類とのマッチング度合いを示す攻撃ベクトルに基づいて、各アラートの類似度を算出する。攻撃ベクトルの詳細については、後述する。

　＜第３例＞
　図３Ｂは、本実施の形態における同一脅威アラート特定部の他の構成の一例を示す図である。なお、同一脅威アラート特定部１００と同一の構成については同じ符号を付与し、その説明を省略する。

　図３Ｂにおいて、同一脅威アラート特定部２０００は、判定対象アラート受付部１０１、同一脅威アラート候補抽出部１０２、自明な同一脅威アラート判定部１０３、同一脅威アラート判定部１０４、アラート間類似度算出部３０５、検知情報受付部１０６、特徴量抽出部１０７、および、特徴量保持部１０８を含んで構成される。アラート間類似度算出部３０５、検知情報受付部１０６、および、特徴量抽出部１０７等の各処理部は、例えば、プロセッサと、当該プロセッサが実行する制御プログラムを記憶する半導体メモリ等のメモリとにより実現される。特徴量保持部１０８等の記憶装置は、例えば、ＨＤＤ等により実現される。

　また、同一脅威アラート特定部２０００は、セキュリティ監視装置の一例である、また、アラート間類似度算出部３０５は、類似度算出部の一例である。

　アラート間類似度算出部３０５は、特徴量保持部１０８に保持される特徴量を用いて、通知されたアラートと同一脅威アラートの候補として抽出されたアラートとの類似度を算出する。

　特徴量保持部１０８は、セキュリティ製品３００ａがこれまでに検知した攻撃の検知情報１２３とセキュリティ製品３００ｂがこれまでに検知した攻撃の検知情報１２３とが用いられて抽出された、セキュリティ製品３００ａの特徴量とセキュリティ製品３００ｂの特徴量とを保持する。

　特徴量の抽出は、同一脅威アラート特定部２０００で予めされていてもよいし、アラート間の類似度を算出する際に同一脅威アラート特定部２０００がしてもよいし、同一脅威アラート特定部２０００でされなくてもよい。本実施の形態では、同一脅威アラート特定部２０００で予め抽出する場合について説明する。

　検知情報受付部１０６は、セキュリティ製品３００ａがこれまでに検知した攻撃の検知情報１２３とセキュリティ製品３００ｂがこれまでに検知した攻撃の検知情報１２３とを受け付け、攻撃の検知情報１２３を特徴量抽出部１０７に通知する。

　特徴量抽出部１０７は、通知された攻撃の検知情報１２３の特徴量を抽出し、抽出した特徴量を特徴量保持部１０８に保存する。

　以上のように、アラート間類似度算出部３０５は、セキュリティ製品３００ａ、３００ｂにおける過去の脅威の検知結果を示す検知情報（攻撃の検知情報１２３）が用いられて抽出された特徴量を用いて、各アラートの類似度を算出する。攻撃の検知情報１２３および特徴量の詳細については、後述する。

　＜処理手順＞
　続いて、セキュリティ監視装置の一例である同一脅威アラート特定部の処理手順について説明する。

　＜第１例＞
　図４は、実施の形態に係る同一脅威アラート特定部１００を用いたアラートの同一脅威アラート判定処理のフローチャートである。

　まず、同一脅威アラート特定部１００は、セキュリティ製品３００ａ、３００ｂから通知されたアラートを受け付ける（Ｓ１００２）。

　次に、同一脅威アラート特定部１００は、受け付けたアラートに対し、過去に受け付けたアラートの中から今回受け付けたアラートと類似するアラートの候補、つまり、同一脅威アラートの候補を抽出する（Ｓ１００３）。

　次に、同一脅威アラート特定部１００は、抽出されたアラートの候補の中で自明な類似のアラート、つまり、自明な同一脅威アラートが存在するか否かを判定する（Ｓ１００４）。

　自明な同一脅威アラートが存在すると判定された場合（Ｓ１００４のＹＥＳの場合）には、同一脅威アラート特定部１００は、今回取り込まれた（つまり、受け付けた）アラートと類似するとみなされた過去のアラートを抽出し、抽出した過去のアラートと、受け付けたアラートとが自明な同一脅威アラートであることを示す同一脅威アラート情報１２２を出力する（Ｓ１００７）。

　一方、自明な同一脅威アラートが存在しないと判定された場合（Ｓ１００４のＮＯの場合）には、同一脅威アラート特定部１００は、受け付けたアラートと、同一脅威アラートの候補との類似度を算出する（Ｓ１００５）。同一脅威アラート特定部１００は、例えば、類似度の算出に、ＴＦ－ＩＤＦによる説明文類似度算出法を用いる。詳細は図１１を用いて後述する。

　次に、同一脅威アラート特定部１００は、受け付けたアラートと、同一脅威アラートの候補との類似度が閾値を超えている場合、受け付けたアラートと同一脅威アラートの候補とを類似のアラート（つまり、同一脅威アラート）であることを示す同一脅威アラート情報１２２を出力する（Ｓ１００６）。ここで、例えば、同一脅威アラート特定部１００は、受け付けたアラートと、同一脅威アラートの候補との類似度が閾値以下である場合、同一脅威アラート情報１２２を出力せず、処理をステップＳ１００８に移行する。

　ステップＳ１００６またはステップＳ１００７の次に、同一脅威アラート特定部１００は、受け付けたアラートのうち、上記の判定が行われていない他のアラートが存在するか否かを確認する（Ｓ１００８）。

　他のアラートが存在する場合（Ｓ１００８でＹＥＳの場合）には、同一脅威アラート特定部１００は、ステップＳ１００２の処理を行う。

　一方、他のアラートが存在しない場合（Ｓ１００８でＮＯの場合）には、同一脅威アラート特定部１００は、処理を終了する。

　図５は、実施の形態に係るＩＤＦ学習処理のフローチャートである。

　まず、セキュリティ文書情報受付部１１２は、セキュリティ文書情報１２５を受け付ける（Ｓ１１０１）。

　次に、ＩＤＦ学習部１１３は、セキュリティ文書情報１２５の単語を抽出し、抽出した単語についてＳｋｉｐｇｒａｍを用いてベクトル表現を学習する（Ｓ１１０２）。

　次に、ＩＤＦ学習部１１３は、適当なクラスタ数Ｋを設定し、学習して得られた単語のベクトル群に対しＫ－ｍｅａｎｓ法を用いてクラスタリングを行い、単語のクラスタを学習する（Ｓ１１０３）。クラスタ数Ｋは、予め任意に定められてよく、特に限定されない。

　次に、ＩＤＦ学習部１１３は、学習により得られた単語をクラスタＩＤにマッピングするための単語クラスタ情報をＩＤＦ保持部１１４に保存する（Ｓ１１０４）。

　次に、ＩＤＦ学習部１１３は、ＩＤＦ保持部１１４に保持されている単語クラスタ情報を利用して、セキュリティ文書情報１２５の各単語をクラスタＩＤ（単語クラスタＩＤ）に変換する（Ｓ１１０５）。

　次に、ＩＤＦ学習部１１３は、受け付けたセキュリティ文書情報１２５全体を利用して、各単語のクラスタのＩＤＦを学習する（Ｓ１１０６）。

　次に、ＩＤＦ学習部１１３は、学習で得られたＩＤＦ（より具体的には、ＩＤＦ値）をＩＤＦ保持部１１４に保存する（Ｓ１１０７）。

　図６は、実施の形態における同一脅威アラート特定部１００による、ＴＦ－ＩＤＦを用いた類似度算出処理のフローチャートである。

　まず、アラート間類似度算出部１０５は、セキュリティ製品３００ａ、３００ｂから通知されたアラートの検知モデル説明文と、同一脅威アラートの候補として抽出されたアラートの検知モデル説明文とをそれぞれ受け付ける（Ｓ１２０１）。

　次に、アラート間類似度算出部１０５は、ＩＤＦ保持部１１４に保存された単語クラスタ情報を用いて、各検知モデル説明文の各単語をクラスタＩＤに変換する（Ｓ１２０２）。

　次に、アラート間類似度算出部１０５は、ＩＤＦ保持部１１４に保存されたＩＤＦ（ＩＤＦ値）を用いて、各検知モデル説明文のＴＦ－ＩＤＦベクトルを計算する（Ｓ１２０３）。

　次に、アラート間類似度算出部１０５は、各検知モデル説明文に対応するＴＦ－ＩＤＦベクトル間のコサイン類似度を計算し、検知モデル説明文間の類似度を算出する（Ｓ１２０４）。

　＜変形例１＞
　なお、同一脅威アラート特定部１００が備えるアラート間類似度算出部１０５は、検知モデル説明文間の類似度の算出にＴＦ－ＩＤＦベクトルを用いたが、注目語を用いて類似度が算出されてもよい。例えば、同一脅威アラート特定部１００は、アラート間類似度算出部１０５に代えて、注目語を用いて類似度の算出を行うアラート間類似度算出部を備えてもよい。

　続いて、アラート間類似度算出部１０５による類似度の算出に代えて、変形例１に係るアラート間類似度算出部が注目語を用いた類似度の算出を行う場合を説明する。変形例１に係るアラート間類似度算出部は、類似度算出部の一例である。

　図７は、実施の形態に係る注目語を用いた類似度算出処理のフローチャートである。

　まず、変形例１に係るアラート間類似度算出部は、セキュリティ製品３００ａ、３００ｂから通知されたアラートの検知モデル説明文と、同一脅威アラートの候補として抽出されたアラートの検知モデル説明文とをそれぞれ受け付ける（Ｓ１３０１）。

　次に、変形例１に係るアラート間類似度算出部は、予め定義された注目語リストを読み込む（Ｓ１３０２）。

　ここで、注目語リストについて説明する。

　図８は、注目語リストの一例を示す図である。

　注目語リストは、注目語として、特定の単語および単語群がリスト化された情報を含む。図８においては、注目語として、「ｉｎｔｅｒｎａｌ」、「ｅｘｔｅｒｎａｌ」、「ｌｉｎｋ／ｃｏｎｎｅｃｔｉｏｎ」、「ｅｎｃｒｙｐｔ／ｃｉｐｈｅｒ」、「ｍａｌｗａｒｅ／ｖｉｒｕｓ／ｗｏｒｍ／ｔｒｏｊａｎ」、「ｃｏｍｍａｎｄ／ｓｅｒｖｉｃｅ」がリスト化されている。

　なお、図８に示すように、「〇〇／××」の形式で注目語が設定されている場合には、注目語「○○」または注目語「××」を意図している。

　図７の説明に戻る。ステップＳ１３０３の次に、変形例１に係るアラート間類似度算出部は、各検知モデル説明文に対し、注目語リストのうち検知モデル説明文内で出現する語からなる集合（注目語集合）を抽出する（Ｓ１３０３）。具体的には、変形例１に係るアラート間類似度算出部は、各検知モデル説明文に対し、注目語リストに含まれる注目語のうち、検知モデル説明文に含まれる注目語を抽出することで、抽出した１以上の注目語を含む注目語集合を生成する。

　次に、変形例１に係るアラート間類似度算出部は、各検知モデル説明文から抽出したそれぞれの注目語集合に対しＪａｃｃａｒｄ係数を用いて、各検知モデル説明文の類似度を算出する（Ｓ１３０４）。

　以上のように、変形例１に係るアラート間類似度算出部は、予め定義された注目語リストを用いて、各検知モデル説明文に含まれる注目語を抽出し、各検知モデル説明文から抽出した１以上の注目語である注目語集合の類似度を算出することで、各アラートの類似度を算出する。

　＜第２例＞
　図９は、実施の形態に係る攻撃分類モデル学習処理のフローチャートである。具体的には、図９は、同一脅威アラート特定部１０００の具体的な処理手順を示すフローチャートである。

　まず、脅威インテリジェンス受付部１０９は、サイバー攻撃の分類（攻撃分類）を示す分類情報と、その分類の内容（その分類を説明した文書（脅威インテリジェンス））とを示す脅威インテリジェンス情報１２４を受け付ける（Ｓ１４０１）。

　ここで、脅威インテリジェンス情報１２４の詳細について説明する。

　図１０は、実施の形態におけるサイバー攻撃の分類の一例を示す図である。

　攻撃分類は、攻撃者が利用する様々な攻撃手段を大別した情報である。攻撃分類の生成には、例えば、ＭＩＴＲＥ社が公表するＡＴＴ＆ＣＫ（Ａｄｖｅｒｓａｒｉａｌ　Ｔａｃｔｉｃｓ，　Ｔｅｃｈｎｉｑｕｅｓ，　ａｎｄ　Ｃｏｍｍｏｎ　Ｋｎｏｗｌｅｄｇｅ）　ＭＡＴＲＩＸが利用されてもよい。なお、攻撃分類に含まれる攻撃の種類は、任意に定められてよく、特に限定されない。

　図１０において、攻撃分類として、「Ｐｏｒｔ　Ｓｃａｎ」、「ＩＰ　Ｓｃａｎ」、「Ｂｒｕｔｅ　Ｆｏｒｃｅ」、「Ｖａｌｉｄ　Ａｃｃｏｕｎｔ」、「Ｃ＆Ｃ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ」、および、「Ｓｐｏｏｆｉｎｇ」がリスト化されている。

　図１１は、本実施の形態における脅威インテリジェンス情報１２４の一例を示す図である。

　脅威インテリジェンス情報１２４は、攻撃に関する概要が記述された文章に、攻撃分類（分類情報）が紐づけられた組の集合である。例えば、紐づけられる攻撃分類は、図１０に示す攻撃分類のリストに含まれる複数の攻撃分類のうちの１つ以上の攻撃分類である。

　図１１において、脅威インテリジェンス情報１２４は、脅威インテリジェンス１と脅威インテリジェンス２とを含む。脅威インテリジェンス１では、「Ａ　ｄｅｖｉｃｅ　ｔｒｉｅｓ　ｔｏ　ｃｏｎｎｅｃｔ　ｏｔｈｅｒ　ｄｅｖｉｃｅｓ　ｒｅｐｅａｔｅｄｌｙ　．．．」という文章で示される攻撃に対する概要と、攻撃分類「Ｐｏｒｔ　Ｓｃａｎ」、「ＩＰ　Ｓｃａｎ」とが紐づけられている。脅威インテリジェンス２では、「Ｄｅｖｉｃｅｓ　ｃｏｍｍｕｎｉｃａｔｅ　ｗｉｔｈ　ｒａｔｅ　ｅｘｔｅｒｎａｌ　ｈｏｓｔ　ｗｉｔｈ　ｈｔｔｐｓ　ｆｏｒ　ｒｅｃｅｉｖｅ　ｏｒｄｅｒｓ　ａｎｄ　ｓｅｎｄ　ｉｎｔｅｒｎａｌ　ｉｎｆｏｒｍａｔｉｏｎ　．．．」という文章で示される攻撃に対する概要と、攻撃分類「Ｃ＆Ｃ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ」とが紐づけられている。

　図９の説明に戻る。ステップＳ１４０１の次に、攻撃分類モデル学習部１１０は、脅威インテリジェンス情報１２４とＢＥＲＴ（Ｂｉｄｉｒｅｃｔｉｏｎａｌ　Ｅｎｃｏｄｅｒ　Ｒｅｐｒｅｓｅｎｔａｔｉｏｎｓ　ｆｒｏｍ　Ｔｒａｎｓｆｏｒｍｅｒｓ）等の言語モデルとを用いて攻撃分類モデルを学習する（Ｓ１４０２）。

　次に、攻撃分類モデル学習部１１０は、学習した攻撃分類モデルを攻撃分類モデル保持部１１１に保存する（Ｓ１４０３）。

　図１２は、実施の形態における攻撃分類モデルを用いた類似度算出処理のフローチャートである。

　まず、アラート間類似度算出部２０５は、セキュリティ製品３００ａ、３００ｂから通知されたアラートの検知モデル説明文と、同一脅威アラートの候補として抽出されたアラートの検知モデル説明文とをそれぞれ受け付ける（Ｓ１５０１）。

　次に、アラート間類似度算出部２０５は、攻撃分類モデル保持部１１１に保存された攻撃分類モデルを用いて、各検知モデル説明文の攻撃ベクトルを取得する（Ｓ１５０２）。

　図１３は、実施の形態における、攻撃ベクトルの算出を説明するための図である。

　図１３において、アラート間類似度算出部２０５は、攻撃分類モデルを用いて、検知モデル説明文「Ａ　ｄｅｖｉｃｅ　ｉｓ　ｒｅｐｅａｔｅｄｌｙ　ｃｏｍｍｕｎｉｃａｔｉｎｇ　ｗｉｔｈ　ａ　ｅｘｔｅｒｎａｌ　ｌｏｃａｔｉｏｎ　ｗｉｔｈ　ｅｎｃｒｙｐｔｅｄ　ｃｈａｎｎｅｌ．　Ｔｈｅｒｅ　ｉｓ　ａ　ｒｉｓｋ　ｏｆ　ｔｈｅ　ｄａｔａ　ｂｅｉｎｇ　ｔｒａｎｓｍｉｔｔｅｄ　．．．」の攻撃ベクトルを取得する。攻撃ベクトルは、図１０で説明した攻撃分類それぞれに対しての確率によって表現される。図１３に示す例では、検知モデル説明文から、「Ｐｏｒｔ　Ｓｃａｎ」の攻撃分類に対して確率０％、「ＩＰ　Ｓｃａｎ」に対して確率０％、「Ｂｒｕｔｅ　Ｆｏｒｃｅ」に対して確率２％、「Ｖａｌｉｄ　Ａｃｃｏｕｎｔ」に対して確率３％、「Ｃ＆Ｃ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ」に対して確率７５％、「Ｓｐｏｏｆｉｎｇ」に対して確率０％のように確率が算出される。また、本例における攻撃ベクトルは、（０，０，２，３，７５，０）である。

　図１２の説明に戻る。ステップＳ１５０２の次に、アラート間類似度算出部２０５は、比較する２つの検知モデル説明文の攻撃ベクトル間の類似度（具体的には、コサイン類似度）を算出する（Ｓ１５０３）。

　＜第３例＞
　図１４は、実施の形態における過去の攻撃の検知情報１２３を用いた特徴量抽出処理のフローチャートである。具体的には、図１４は、同一脅威アラート特定部２０００の具体的な処理手順を示すフローチャートである。

　まず、検知情報受付部１０６は、セキュリティ製品３００ａがこれまでに検知した攻撃の検知情報１２３と、セキュリティ製品３００ｂがこれまでに検知した攻撃の検知情報１２３とを受け付ける（Ｓ１６０１）。

　ここで、攻撃の検知情報１２３の詳細について説明する。

　図１５Ａは、本実施の形態における攻撃の検知情報１２３の一例を示す図である。

　図１５Ａにおいて、攻撃の検知情報１２３は、セキュリティ製品３００ａがこれまでに検知した攻撃の検知情報とセキュリティ製品３００ｂがこれまでに検知した攻撃の検知情報とを含む。これらの攻撃の検知情報はそれぞれ、少なくとも、アラート発生時刻の分布、過去１週間のアラート発生回数、および、過去１か月の検知対象ＩＰ数を含む。

　図１５Ｂは、実施の形態における攻撃の検知情報１２３に含まれるアラート発生時刻の一例を説明するための図である。具体的には、図１５Ｂは、本実施の形態における攻撃の検知情報１２３に含まれる情報のうち、セキュリティ製品３００ａがこれまでに検知した攻撃の検知情報に含まれるアラート発生時刻の分布の一例を示す図である。

　図１５Ｂに示す例においては、例えば、セキュリティ製品３００ａがこれまでに検知した攻撃の検知情報のアラート発生時刻の分布は、ＡＭ０時は「０」、ＡＭ１時は「０」、ＡＭ２時は「０」、ＡＭ３時は「０」、ＡＭ４時は「０．０１」、ＡＭ５時は「０．０２」、ＡＭ６時は「０．０５」、ＡＭ７時は「０．０７」、ＡＭ８時は「０．０７」、ＡＭ９時は「０．０７」、ＡＭ１０時は「０．０８」、ＡＭ１１時は「０．０８」、ＰＭ０時は「０．０８」、ＰＭ１時は「０．０７」、ＰＭ２時は「０．０５」、ＰＭ３時は「０．０５」、ＰＭ４時は「０．０５」、ＰＭ５時は「０．０３」、ＰＭ６時は「０．０２」、ＰＭ７時は「０」、ＰＭ８時は「０」、ＰＭ９時は「０」、ＰＭ１０時は「０」、ＰＭ１１時は「０」である。

　図１５Ａに戻って、セキュリティ製品３００ａがこれまでに検知した攻撃の検知情報に含まれる、過去１週間のアラート発生回数は「１２０」であり、過去１か月の検知対象ＩＰ数は「２５」である。

　図１４の説明に戻る。ステップＳ１６０１の次に、特徴量抽出部１０７は、過去の攻撃の検知情報１２３の特徴量を抽出する（Ｓ１６０２）。例えば、特徴量抽出部１０７は、攻撃の検知情報１２３に基づいて、アラート発生時刻の分布、過去１週間のアラート発生回数、および、過去１か月の検知対象ＩＰ数を特徴量として抽出する。

　次に、特徴量抽出部１０７は、抽出した特徴量を特徴量保持部１０８に保存する（Ｓ１６０３）。

　図１６は、実施の形態における特徴量を用いた類似度算出処理のフローチャートである。

　まず、アラート間類似度算出部３０５は、セキュリティ製品３００ａ、３００ｂから通知されたアラートの検知モデル説明文と、同一脅威アラートの候補として抽出されたアラートの検知モデル説明文とをそれぞれ受け付ける（Ｓ１７０１）。

　次に、アラート間類似度算出部３０５は、特徴量保持部１０８に記憶された複数の特徴量の中から、各検知モデル説明文に対応する特徴量を取得する（Ｓ１７０２）。

　次に、アラート間類似度算出部３０５は、比較する２つのアラートの特徴量間の類似度を算出する（Ｓ１７０３）。

　＜変形例２＞
　なお、類似度の算出方法は、アラート間類似度算出部１０５、２０５および３０５、並びに、変形例１に係るアラート間類似度算出部がそれぞれ実行する類似度の算出方法に限定されない。

　例えば、アラート間類似度算出部は、大規模言語モデル（Ｌａｒｇｅ　Ｌａｎｇｕａｇｅ　Ｍｏｄｅｌ／ＬＬＭ）を用いて、各セキュリティ製品の検知モデル説明文の類似度を算出してもよい。

　図１７は、実施の形態における大規模言語モデルを用いてセキュリティ製品が用いる検知モデル説明文の類似度を算出する具体例を説明するための図である。

　図１７に示されるように、例えば２つの検知モデル説明文とそれらの検知モデル説明文の類似度とを大規模言語モデルに明示的に与えた上で、対象の２つの検知モデル説明文間の類似度を問い合わせる方法が利用できる。変形例２に係るアラート間類似度算出部は、このような方法を利用して、各アラートの類似度を算出する。具体的には、変形例２に係るアラート間類似度算出部は、大規模言語モデルへのプロンプトに２つの検知モデル説明文と当該２つの検知モデル説明文の類似度の例とを与えた上で、ターゲットとなる２つの検知モデル説明文を入力し、当該入力に対する回答として、当該ターゲットとなる２つの検知モデル説明文の類似度を取得する。より具体的には、変形例２に係るアラート間類似度算出部は、２つの検知モデル説明文と当該２つの検知モデル説明文の類似度とを用いて学習された大規模言語モデルに、セキュリティ製品３００ａ、３００ｂから発生されたアラートに含まれる各検知モデル説明文を入力し、大規模言語モデルから出力された各検知モデル説明文の類似度を取得することで、各アラートの類似度を算出する。変形例２に係るアラート間類似度算出部は、類似度算出部の一例である。

　なお、ここで例として入力する検知モデル説明文のペアは、複数存在してもよい。

　また、例えば、上記非特許文献１のＦｉｇｕｒｅ１に開示されている方法を用いて２つの検知モデル説明文の類似度を算出するように、教師データを用いてＦｉｎｅ　ｔｕｎｉｎｇする方法を用いてもよい。つまり、変形例２に係るアラート間類似度算出部が用いる大規模言語モデルは、機械学習におけるＦｉｎｅ－ｔｕｎｉｎｇが施されていてもよい。

　（効果等）
　以下、本明細書の開示内容から得られる技術を例示し、例示される技術から得られる効果などについて説明する。

　技術１は、第１のセキュリティ製品が脅威を検知することで発生させた第１のアラートと、第１のセキュリティ製品とは異なる第２のセキュリティ製品が脅威を検知することで発生させた第２のアラートとを受け付ける受付部と、第１のアラートと第２のアラートとの類似度を算出する類似度算出部と、第１のアラートと第２のアラートとの類似度に基づいて、第１のアラートと第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する第１判定部と、を備える、セキュリティ監視装置である。

　第１のセキュリティ製品は、例えば、セキュリティ製品３００ａであり、第２のセキュリティ製品は、例えば、セキュリティ製品３００ｂである。受付部は、例えば、判定対象アラート受付部１０１である。類似度算出部は、例えば、アラート間類似度算出部（アラート間類似度算出部１０５、２０５または３０５等）である。第１判定部は、例えば、同一脅威アラート判定部１０４である。セキュリティ監視装置は、例えば、同一脅威アラート特定部（同一脅威アラート特定部１００、１０００または２０００等）である。第２のアラートは、例えば、第１のアラートよりも前に受付部で受け付けた第２のセキュリティ製品で検出されたアラートである。

　本開示の一態様に係るセキュリティ監視装置によれば、複数のセキュリティ製品がそれぞれ脅威を検知することで発生させた複数のアラートの類似度に基づいて、これらのアラートが、同一の脅威が検知されて発生されたアラートであるか否かを判定できる。そのため、セキュリティ監視装置は、例えば、複数のアラートが、同一の脅威が検知されて発生されたアラートであるか否かを示す情報を、アラートが発生された原因となる検知された脅威を分析する装置に出力できる。これにより、当該装置は、当該情報に基づいて、例えば同一の脅威に対しては分析を効率的に行うことができるため、複数のアラートが発生された原因となる脅威を効率的に分析できる。言い換えると、当該装置は、当該情報に基づいて、分析に係る処理量を低減できる。したがって、本開示の一態様に係るセキュリティ監視装置によれば、複数のアラートが発生された原因となる脅威を効率的に分析できる。

　技術２は、第１のアラートは、第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、第２のアラートは、第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、類似度算出部は、セキュリティに関する文書を示す文書情報に含まれる単語のＩＤＦ（Ｉｎｖｅｒｓｅ　Ｄｏｃｕｍｅｎｔ　Ｆｒｅｑｕｅｎｃｙ）値を用いて算出された、第１の検知モデル説明文と第２の検知モデル説明文とのそれぞれのＴＦ（Ｔｅｒｍ　Ｆｒｅｑｕｅｎｃｙ）－ＩＤＦベクトルに基づいて、第１のアラートと第２のアラートとの類似度を算出する、技術１に記載のセキュリティ監視装置である。

　ここでいう類似度算出部は、例えば、アラート間類似度算出部１０５である。

　これによれば、複数のアラートの類似度が精度よく算出され得る。

　技術３は、第１のアラートは、第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、第２のアラートは、第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、類似度算出部は、予め定義された注目語リストを用いて、第１の検知モデル説明文と第２の検知モデル説明文とに含まれる注目語を抽出し、第１の検知モデル説明文から抽出した１以上の注目語である第１注目語集合と、第２の検知モデル説明文から抽出した１以上の注目語である第２注目語集合との類似度を算出することで、第１のアラートと第２のアラートとの類似度を算出する、技術１または２に記載のセキュリティ監視装置である。

　ここでいう類似度算出部は、例えば、変形例１に係るアラート間類似度算出部である。

　技術４は、第１のアラートは、第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、第２のアラートは、第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、類似度算出部は、脅威の分類を示す分類情報と、当該分類の内容とを示す脅威インテリジェンス情報を用いて学習された攻撃分類モデルを利用して算出した、第１の検知モデル説明文と第２の検知モデル説明文とのそれぞれの、脅威の分類とのマッチング度合いを示すベクトルに基づいて、第１のアラートと第２のアラートとの類似度を算出する、技術１～３のいずれかに記載のセキュリティ監視装置である。

　ここでいう類似度算出部は、例えば、アラート間類似度算出部２０５である。また、ここでいうベクトルは、例えば、上記の攻撃ベクトルである。

　技術５は、第１のアラートは、第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、第２のアラートは、第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、類似度算出部は、第１のセキュリティ製品における過去の脅威の検知結果を示す第１検知情報と、第２のセキュリティ製品における過去の脅威の検知結果を示す第２検知情報とが用いられて抽出された特徴量を用いて、第１の検知モデル説明文と第２の検知モデル説明文との類似度を算出することで、第１のアラートと第２のアラートとの類似度を算出する、技術１～４のいずれかに記載のセキュリティ監視装置である。

　ここでいう類似度算出部は、例えば、アラート間類似度算出部３０５である。

　これによれば、複数のアラートの類似度が簡単に算出され得る。

　技術６は、更に、第１のセキュリティ製品および第２のセキュリティ製品に関する製品情報に基づいて、第１のアラートと第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する第２判定部を備える、技術１～５のいずれか１項に記載のセキュリティ監視装置である。

　第２判定部は、例えば、自明な同一脅威アラート判定部１０３である。また、製品情報は、例えば、セキュリティ製品が脅威を検知するための検知モデルがどのような脅威を検知するかを示す情報である。例えば、製品情報は、マルウェアを検知する、等を示す情報である。例えば、第２判定部は、第１のセキュリティ製品および第２のセキュリティ製品がいずれもマルウェアのみを検知する製品である場合、第１のアラートと第２のアラートとが、同一の脅威が検知されることで発生されたアラートであると判定する。一方、例えば、第２判定部は、第１のセキュリティ製品および第２のセキュリティ製品が少なくとも１つが互いに異なる脅威を検知する製品である場合、第１のアラートと第２のアラートとが、同一の脅威が検知されることで発生されたアラートではないと判定する。第２判定部の判定結果は、例えば、第１判定部に出力される。製品情報は、セキュリティ監視装置が備えるメモリに予め記憶されていてもよいし、セキュリティ製品からセキュリティ監視装置に送信されてもよい。

　これによれば、受付部で受け付けられたアラートの数が膨大であっても、明らかに同一の脅威が検知されることで発生されたアラートであるか否かが第２判定部によって判定され得る。したがって、第１判定部が判定するアラートの数が低減され得るため、セキュリティ監視装置の処理量が低減され得る。

　技術７は、更に、受付部が受け付けた複数のアラートの中から、所定の条件に基づいてアラートの候補を抽出する抽出部を備え、類似度算出部は、抽出された候補である、第１のアラートと第２のアラートとの類似度を算出する、技術１～６のいずれかに記載のセキュリティ監視装置である。

　抽出部は、例えば、同一脅威アラート候補抽出部１０２である。所定の条件は、例えば、上記のアラートの候補の絞り込みの条件であって、セキュリティ製品３００ａから通知されるアラートとセキュリティ製品３００ｂから通知されるアラートとの発生時刻が６０分以内であること、および／または、脅威として検知されたデバイスのＩＰアドレスが同一であることである。抽出部は、抽出したアラートの候補を示す情報を、例えば、第１判定部および／または第２判定部に出力する。例えば、第１判定部および／または第２判定部は、例えば、抽出部によって抽出されたアラートの候補について、上記の判定を行う。

　これによれば、第１判定部および／または第２判定部が判定するアラートの数が低減され得るため、セキュリティ監視装置の処理量が低減され得る。

　技術８は、第１のアラートは、第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、第２のアラートは、第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、類似度算出部は、２つの検知モデル説明文と当該２つの検知モデル説明文の類似度とを用いて学習された大規模言語モデルに、第１の検知モデル説明文と第２の検知モデル説明文とを入力し、大規模言語モデルから出力された第１の検知モデル説明文と第２の検知モデル説明文との類似度を取得することで、第１のアラートと第２のアラートとの類似度を算出する、技術１～６のいずれかに記載のセキュリティ監視装置である。

　技術９は、大規模言語モデルは、機械学習におけるＦｉｎｅ－ｔｕｎｉｎｇが施されている、技術８に記載のセキュリティ監視装置である。

　技術１０は、第１のセキュリティ製品が脅威を検知することで発生させた第１のアラートと、第１のセキュリティ製品とは異なる第２のセキュリティ製品が脅威を検知することで発生させた第２のアラートとを受け付け、第１のアラートと第２のアラートとの類似度を算出し、第１のアラートと第２のアラートとの類似度に基づいて、第１のアラートと第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する、セキュリティ監視方法である。

　これによれば、本開示の一態様に係るセキュリティ監視装置と同様の効果を奏する。

　技術１１は、技術１０に記載のセキュリティ監視方法をコンピュータが実行するための、プログラムである。

　（補足）
　以上のように、本出願において開示する技術の例示として、実施の形態について説明した。しかしながら本開示による技術は、これらに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。

　以下に、本開示における変形例の一例について列記する。

　（１）実施の形態において、必ずしもセキュリティ製品はＬ２ＳＷのミラーポートから入力されるパケット情報のみの監視を行う装置である必要はない。例えばファイアウォール、プロキシ、汎用のコンピュータまたは各種製造装置のログ等の監視を行う監視装置であってもよく、監視対象のログの種別に制約はない。

　（２）実施の形態において、ＴＦ－ＩＤＦを用いた検知モデル説明文間の類似度算出法、および、攻撃技術分類情報を活用した説明文類似度算出法とアラート発生傾向ベクトルを用いた検知モデル類似度算出法とを組み合わせた手法を記載したが、必ずしもこのいずれかを用いる必要はない。例えば上記の類似度算出手法のうち１つのみを用いても良いし、注目語を用いた説明文類似度算出法を含むどの手法と組み合わせても良い。また、個々の類似度算出手法を個別に利用する必要すらなく、個々の手法で算出されたベクトルを結合（ｃｏｎｃａｔｉｎａｔｅ）して１つのベクトルとみなし、そうして生成されたベクトル間の類似度を利用しても良い。

　（３）実施の形態において、セキュリティ監視装置における各構成要素は、ＩＣ（ＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔ）、ＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ）等の半導体装置により個別に１チップ化されてもよいし、一部または全部を含むように１チップ化されてもよい。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、または、ＬＳＩ内部の回路セルの接続もしくは設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。更には、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてあり得る。

　（４）同一脅威アラート特定部は、例えば、コンピュータで実現される。当該コンピュータは、例えば、セキュリティ製品等の各装置と通信するための、通信線が接続されるコネクタまたは無線通信回路などにより構成される通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、各種情報を記憶するストレージ、信号の送受信をするための入出力ポート、プログラムを実行するプロセッサ等を備える。当該コンピュータは、いわゆるマイクロコンピュータによって実現されてもよい。実施の形態に係る同一脅威アラート特定部は、例えば、セキュリティ監視装置の一例である。

　（５）上記実施の形態において、類似度算出部および同一脅威アラート判定部等の特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。

　（６）上記実施の形態において、各構成要素（各処理部）は、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）またはプロセッサ等のプログラム実行部が、ハードディスクまたは半導体メモリ等の記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。各構成要素は、ハードウェアによって実現されてもよい。各構成要素は、回路（または集積回路）でもよい。これらの回路は、全体として１つの回路を構成してもよいし、それぞれ別々の回路でもよい。また、これらの回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。

　（７）本開示の全般的または具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭ等の非一時的な記録媒体で実現されてもよい。例えば、本開示は、実施の形態に係るセキュリティ監視装置が実行するセキュリティ監視方法をコンピュータが実行するためのプログラムとして実現されてもよい。また、本開示は、システム、装置、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本開示は複数のセキュリティ製品から生じるアラートを集約する技術に有用である。

　１０　セキュリティシステム
　１００、１０００、２０００　同一脅威アラート特定部
　１０１　判定対象アラート受付部
　１０２　同一脅威アラート候補抽出部
　１０３　自明な同一脅威アラート判定部
　１０４　同一脅威アラート判定部
　１０５、２０５、３０５　アラート間類似度算出部
　１０６　検知情報受付部
　１０７　特徴量抽出部
　１０８　特徴量保持部
　１０９　脅威インテリジェンス受付部
　１１０　攻撃分類モデル学習部
　１１１　攻撃分類モデル保持部
　１１２　セキュリティ文書情報受付部
　１１３　ＩＤＦ学習部
　１１４　ＩＤＦ保持部
　１２１　判定対象アラート
　１２２　同一脅威アラート情報
　１２３　攻撃の検知情報
　１２４　脅威インテリジェンス情報
　１２５　セキュリティ文書情報
　２００　ＳＩＥＭ
　３００ａ、３００ｂ　セキュリティ製品
　４００　Ｌ２ＳＷ
　５００　監視対象ネットワーク

Claims

　第１のセキュリティ製品が脅威を検知することで発生させた第１のアラートと、前記第１のセキュリティ製品とは異なる第２のセキュリティ製品が脅威を検知することで発生させた第２のアラートとを受け付ける受付部と、
　前記第１のアラートと前記第２のアラートとの類似度を算出する類似度算出部と、
　前記第１のアラートと前記第２のアラートとの類似度に基づいて、前記第１のアラートと前記第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する第１判定部と、を備える、
　セキュリティ監視装置。
　前記第１のアラートは、前記第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、
　前記第２のアラートは、前記第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、
　前記類似度算出部は、セキュリティに関する文書を示す文書情報に含まれる単語のＩＤＦ（Ｉｎｖｅｒｓｅ　Ｄｏｃｕｍｅｎｔ　Ｆｒｅｑｕｅｎｃｙ）値を用いて算出された、前記第１の検知モデル説明文と前記第２の検知モデル説明文とのそれぞれのＴＦ（Ｔｅｒｍ　Ｆｒｅｑｕｅｎｃｙ）－ＩＤＦベクトルに基づいて、前記第１のアラートと前記第２のアラートとの類似度を算出する、
　請求項１に記載のセキュリティ監視装置。
　第１のアラートは、前記第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、
　第２のアラートは、前記第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、
　前記類似度算出部は、予め定義された注目語リストを用いて、前記第１の検知モデル説明文と前記第２の検知モデル説明文とに含まれる注目語を抽出し、前記第１の検知モデル説明文から抽出した１以上の注目語である第１注目語集合と、前記第２の検知モデル説明文から抽出した１以上の注目語である第２注目語集合との類似度を算出することで、前記第１のアラートと前記第２のアラートとの類似度を算出する、
　請求項１に記載のセキュリティ監視装置。
　前記第１のアラートは、前記第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、
　前記第２のアラートは、前記第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、
　前記類似度算出部は、脅威の分類を示す分類情報と、当該分類の内容とを示す脅威インテリジェンス情報を用いて学習された攻撃分類モデルを利用して算出した、前記第１の検知モデル説明文と前記第２の検知モデル説明文とのそれぞれの、脅威の分類とのマッチング度合いを示すベクトルに基づいて、前記第１のアラートと前記第２のアラートとの類似度を算出する、
　請求項１に記載のセキュリティ監視装置。
　前記第１のアラートは、前記第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、
　前記第２のアラートは、前記第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、
　前記類似度算出部は、前記第１のセキュリティ製品における過去の脅威の検知結果を示す第１検知情報と、前記第２のセキュリティ製品における過去の脅威の検知結果を示す第２検知情報とから抽出された特徴量を用いて、前記第１の検知モデル説明文と前記第２の検知モデル説明文との類似度を算出することで、前記第１のアラートと前記第２のアラートとの類似度を算出する、
　請求項１に記載のセキュリティ監視装置。
　更に、前記第１のセキュリティ製品および前記第２のセキュリティ製品に関する製品情報に基づいて、前記第１のアラートと前記第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する第２判定部を備える、
　請求項１～５のいずれか１項に記載のセキュリティ監視装置。
　更に、前記受付部が受け付けた複数のアラートの中から、所定の条件に基づいてアラートの候補を抽出する抽出部を備え、
　前記類似度算出部は、抽出された候補である、前記第１のアラートと前記第２のアラートとの類似度を算出する、
　請求項１に記載のセキュリティ監視装置。
　前記第１のアラートは、前記第１のセキュリティ製品が検知した脅威を説明する第１の検知モデル説明文を含み、
　前記第２のアラートは、前記第２のセキュリティ製品が検知した脅威を説明する第２の検知モデル説明文を含み、
　前記類似度算出部は、２つの検知モデル説明文と当該２つの検知モデル説明文の類似度とを用いて学習された大規模言語モデルに、前記第１の検知モデル説明文と前記第２の検知モデル説明文とを入力し、前記大規模言語モデルから出力された前記第１の検知モデル説明文と前記第２の検知モデル説明文との類似度を取得することで、前記第１のアラートと前記第２のアラートとの類似度を算出する、
　請求項１に記載のセキュリティ監視装置。
　前記大規模言語モデルは、機械学習におけるＦｉｎｅ－ｔｕｎｉｎｇが施されている、
　請求項８に記載のセキュリティ監視装置。
　第１のセキュリティ製品が脅威を検知することで発生させた第１のアラートと、前記第１のセキュリティ製品とは異なる第２のセキュリティ製品が脅威を検知することで発生させた第２のアラートとを受け付け、
　前記第１のアラートと前記第２のアラートとの類似度を算出し、
　前記第１のアラートと前記第２のアラートとの類似度に基づいて、前記第１のアラートと前記第２のアラートとが、同一の脅威が検知されることで発生されたアラートであるか否かを判定する、
　セキュリティ監視方法。
　請求項１０に記載のセキュリティ監視方法をコンピュータが実行するための、
　プログラム。