TOP特許意匠商標
特許ウォッチ Twitter
10個以上の画像は省略されています。
公開番号2025136207
公報種別公開特許公報(A)
公開日2025-09-19
出願番号2024034491
出願日2024-03-07
発明の名称情報処理装置、情報処理方法、及びプログラム
出願人日本電気株式会社
代理人弁理士法人ブライタス
主分類G06F 21/55 20130101AFI20250911BHJP(計算;計数)
要約【課題】 事前定義されていないサイバー攻撃を受けた場合でも、インシデントシナリオを導出することにある。
【解決手段】 情報処理装置は、サイバー攻撃を受けた被害システムから取得した対象のデータ群を用いて第一の特徴量を生成する特徴量生成部と、入力とインシデントの特徴量とが類似している場合に、インシデントシナリオに対応するラベルを出力するインシデントシナリオ判定モデルに、第一の特徴量を入力し、インシデントシナリオ判定モデルから第一の特徴量に対応するラベルを取得すると、取得した第一の特徴量に対応するラベルに基づいて、ラベルに対応するインシデントシナリオを決定する決定部と、を有する。
【選択図】図1

特許請求の範囲【請求項1】
運用フェーズにおいて、サイバー攻撃を受けた被害システムから取得した対象のデータ群を用いて第一の特徴量を生成する特徴量生成手段と、
入力とインシデントの特徴量とが類似している場合に、インシデントシナリオに対応するラベルを出力するインシデントシナリオ判定モデルに、前記第一の特徴量を入力し、前記インシデントシナリオ判定モデルから前記第一の特徴量に対応するラベルを取得すると、取得した前記第一の特徴量に対応するラベルに基づいて、前記ラベルに対応するインシデントシナリオを決定する決定手段と、
を有する情報処理装置。
続きを表示(約 2,400 文字)【請求項2】
前記特徴量生成手段は、学習フェーズにおいて、前記被害システムから過去に取得した過去のデータ群を用いて第二の特徴量を生成し、
前記第二の特徴量に、あらかじめ設定されたインシデントシナリオに対応する前記ラベルを関連付けて、第一の教師データを生成する第一の教師データ生成手段と、
前記第一の教師データを用いて、前記インシデントシナリオ判定モデルを学習するモデル学習手段と、を有する、
請求項1に記載の情報処理装置。
【請求項3】
前記インシデントシナリオ判定モデルに入力した前記第一の特徴量のうち、インシデントの特徴量が類似していないと判定された第三の特徴量を用いてクラスタリング処理を実行し、前記第三の特徴量をクラスタごとに分類する分類手段と、
前記クラスタごとに、クラスタを代表する第四の特徴量を抽出する抽出手段と、
前記第四の特徴量と、前記第二の特徴量とを比較し、前記第四の特徴量に最も類似している前記第二の特徴量に対応する前記ラベルを、前記第四の特徴量に関連付けて、第二の教師データを生成する第二の教師データ生成手段と、を有し、
前記モデル学習手段は、前記第一の教師データと前記第二の教師データを用いて、前記インシデントシナリオ判定モデルを再学習する、
請求項2に記載の情報処理装置。
【請求項4】
前記第三の特徴量に対応するデータ群を取得し、当該データ群に、あらかじめ設定された脅威インテリジェンスが含まれているか否かを照合する照合手段と、
当該データ群に脅威インテリジェンスが含まれている場合、前記第三の特徴量に、前記脅威インテリジェンスにあらかじめ関連付けられている前記ラベルを関連付けて、第三の教師データを生成する第三の教師データ生成手段と、を有し、
前記モデル学習手段は、前記第一の教師データと前記第三の教師データを用いて、前記インシデントシナリオ判定モデルを学習する、
請求項3に記載の情報処理装置。
【請求項5】
情報処理装置が、
運用フェーズにおいて、サイバー攻撃を受けた被害システムから取得した対象のデータ群を用いて第一の特徴量を生成し、
入力とインシデントの特徴量とが類似している場合に、インシデントシナリオに対応するラベルを出力するインシデントシナリオ判定モデルに、前記第一の特徴量を入力し、前記インシデントシナリオ判定モデルから前記第一の特徴量に対応するラベルを取得すると、取得した前記第一の特徴量に対応するラベルに基づいて、前記ラベルに対応するインシデントシナリオを決定する、
情報処理方法。
【請求項6】
学習フェーズにおいて、前記被害システムから過去に取得した過去のデータ群を用いて第二の特徴量を生成し、
前記第二の特徴量に、あらかじめ設定されたインシデントシナリオに対応する前記ラベルを関連付けて、第一の教師データを生成し、
前記第一の教師データを用いて、前記インシデントシナリオ判定モデルを学習する、
請求項5に記載の情報処理方法。
【請求項7】
前記インシデントシナリオ判定モデルに入力した前記第一の特徴量のうち、インシデントの特徴量が類似していないと判定された第三の特徴量を用いてクラスタリング処理を実行し、前記第三の特徴量をクラスタごとに分類し、
前記クラスタごとに、クラスタを代表する第四の特徴量を抽出し、
前記第四の特徴量と、前記第二の特徴量とを比較し、前記第四の特徴量に最も類似している前記第二の特徴量に対応する前記ラベルを、前記第四の特徴量に関連付けて、第二の教師データを生成し、
前記第一の教師データと前記第二の教師データを用いて、前記インシデントシナリオ判定モデルを再学習する、
請求項6に記載の情報処理方法。
【請求項8】
前記第三の特徴量に対応するデータ群を取得し、当該データ群に、あらかじめ設定された脅威インテリジェンスが含まれているか否かを照合し、
当該データ群に脅威インテリジェンスが含まれている場合、前記第三の特徴量に、前記脅威インテリジェンスにあらかじめ関連付けられている前記ラベルを関連付けて、第三の教師データを生成させ、
前記第一の教師データと前記第三の教師データを用いて、前記インシデントシナリオ判定モデルを学習する、
請求項7に記載の情報処理方法。
【請求項9】
コンピュータに、
運用フェーズにおいて、サイバー攻撃を受けた被害システムから取得した対象のデータ群を用いて第一の特徴量を生成させ、
入力とインシデントの特徴量とが類似している場合に、インシデントシナリオに対応するラベルを出力するインシデントシナリオ判定モデルに、前記第一の特徴量を入力し、前記インシデントシナリオ判定モデルから前記第一の特徴量に対応するラベルを取得すると、取得した前記第一の特徴量に対応するラベルに基づいて、前記ラベルに対応するインシデントシナリオを決定させる、
プログラム。
【請求項10】
学習フェーズにおいて、前記被害システムから過去に取得した過去のデータ群を用いて第二の特徴量を生成させ、
前記第二の特徴量に、あらかじめ設定されたインシデントシナリオに対応する前記ラベルを関連付けて、第一の教師データを生成させ、
前記第一の教師データを用いて、前記インシデントシナリオ判定モデルを学習させる、
請求項9に記載のプログラム。
(【請求項11】以降は省略されています)
発明の詳細な説明【技術分野】
【0001】
本開示は、インシデントシナリオを導出する情報処理装置、情報処理方法、及びプログラムに関する。
続きを表示(約 1,800 文字)【背景技術】
【0002】
サイバー攻撃の被害が世界的に甚大化している。企業がサイバー攻撃を受けると、情報漏洩、システム停止などのビジネスに直結する被害、企業が所有するサーバーを攻撃者に踏み台として使用されるなどの間接的な被害を受けることがある。また、上述したサイバー攻撃により、企業イメージの低下による信用の失墜、取引停止などの二次的な被害が発生することがある。
【0003】
また、被害を受けた組織がサイバー攻撃の全貌(インシデントシナリオ)を明らかにせずに場当たり的に対処した場合、再度サイバー攻撃を受ける可能性がある。さらに、サイバー攻撃を受けた組織のうち八割が二回目のサイバー攻撃を受けたというデータがある。したがって、被害を受けた組織がインシデントシナリオを明らかにし、正しく対策を講じることが重要である。
【0004】
関連する技術として特許文献1には、サイバー攻撃の予兆(インシデント)を分析して、分析の時点以降に進行する推定攻撃経路を特定するインシデント分析装置が開示されている。特許文献1のインシデント分析装置は、攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定する。次に、特定された攻撃経路を含む推定攻撃経路を、対処情報テーブルで検索し、検索結果の一つ以上の推定攻撃経路それぞれと対応付けられた1以上の対処回数を、対処情報テーブルから取得する。次に、取得された1以上の対処回数に基づいて、優先度を設定し、設定された優先度に基づいて、検索結果の一つ以上の推定攻撃経路の中から推定攻撃経路を選択する。
【先行技術文献】
【特許文献】
【0005】
特開2019-050477号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述した技術は、情報漏洩、システム停止、最終的な被害内容、直近のイベント、被害発生時の各種システムログ、実施したサイバー攻撃への対処に関する情報から、インシデントシナリオを判定し、出力するものである。
【0007】
しかしながら、上述した技術では、各種サイバー攻撃手法に紐づくシステムログなどを事前定義したり、実際にサイバー攻撃の被害を受けた際の対処内容を事前に収集したりする必要がある。そのため、事前定義されていない又は過去に対処をしたことがないサイバー攻撃を含む情報からは、インシデントシナリオを判定できない。
【0008】
本開示の目的の一例は、事前定義されていないサイバー攻撃を受けた場合でも、インシデントシナリオを導出することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本開示の一側面における情報処理装置は、
運用フェーズにおいて、サイバー攻撃を受けた被害システムから取得した対象のデータ群を用いて第一の特徴量を生成する特徴量生成部と、
入力とインシデントの特徴量とが類似している場合に、インシデントシナリオに対応するラベルを出力するインシデントシナリオ判定モデルに、前記第一の特徴量を入力し、前記インシデントシナリオ判定モデルから前記第一の特徴量に対応するラベルを取得すると、取得した前記第一の特徴量に対応するラベルに基づいて、前記ラベルに対応するインシデントシナリオを決定する決定部と、
を有することを特徴とする。
【0010】
また、上記目的を達成するため、本開示の一側面における情報処理方法は、
情報処理装置が、
運用フェーズにおいて、サイバー攻撃を受けた被害システムから取得した対象のデータ群を用いて第一の特徴量を生成し、
入力とインシデントの特徴量とが類似している場合に、インシデントシナリオに対応するラベルを出力するインシデントシナリオ判定モデルに、前記第一の特徴量を入力し、前記インシデントシナリオ判定モデルから前記第一の特徴量に対応するラベルを取得すると、取得した前記第一の特徴量に対応するラベルに基づいて、前記ラベルに対応するインシデントシナリオを決定する、
ことを特徴とする。
(【0011】以降は省略されています)
この特許をJ-PlatPat(特許庁公式サイト)で参照する

関連特許

日本電気株式会社
学習装置
22日前
日本電気株式会社
学習装置
15日前
日本電気株式会社
原子発振器
17日前
日本電気株式会社
超伝導量子回路
11日前
日本電気株式会社
マルチバンドバラン
9日前
日本電気株式会社
移相器およびアンテナ装置
29日前
日本電気株式会社
移相器およびアンテナ装置
29日前
日本電気株式会社
移相器およびアンテナ装置
29日前
日本電気株式会社
端末装置および無線通信方法
2日前
日本電気株式会社
機器冷却装置及びその冷却方法
3日前
日本電気株式会社
ケージ、光伝送装置及び挿抜方法
26日前
日本電気株式会社
プログラム、算出装置、及び方法
3日前
日本電気株式会社
光ファイバ伝送路及び光伝送方法
1か月前
日本電気株式会社
処理装置、方法、及びプログラム
15日前
日本電気株式会社
TS合成装置および放送システム
18日前
日本電気株式会社
リング共振器、およびその製造方法
17日前
日本電気株式会社
リング共振器、およびその製造方法
16日前
日本電気株式会社
レドーム、及びレドームの製造方法
1か月前
日本電気株式会社
ピーク抑圧装置及びピーク抑圧方法
1日前
日本電気株式会社
処理装置、処理方法、及びプログラム
29日前
日本電気株式会社
処理装置、処理方法、及びプログラム
25日前
日本電気株式会社
通信システム及びパケット順序補正方法
2日前
日本電気株式会社
判定装置、判定方法、及び、プログラム
11日前
日本電気株式会社
管理システム、管理方法及びプログラム
1日前
日本電気株式会社
分析装置、分析方法、およびプログラム
1か月前
日本電気株式会社
情報処理装置、及び処理方法、プログラム
1か月前
日本電気株式会社
情報処理装置、情報処理方法、プログラム
15日前
日本電気株式会社
情報処理装置、情報処理方法、プログラム
15日前
日本電気株式会社
画像検索装置、画像検索方法及び記憶媒体
12日前
日本電気株式会社
情報処理装置、情報処理方法、プログラム
18日前
日本電気株式会社
マルチコアファイバ増幅器及び光増幅方法
9日前
日本電気株式会社
受講管理装置、受講管理方法及びプログラム
1か月前
日本電気株式会社
制御計画装置、制御計画方法及びプログラム
1か月前
日本電気株式会社
支援システム、処理方法、およびプログラム
1か月前
日本電気株式会社
処理システム、処理方法、およびプログラム
19日前
日本電気株式会社
情報収集装置、情報収集方法及びプログラム
10日前
続きを見る