ホーム > 特許ランキング > 財団法人 資訊工業策進会
知財求人 - 知財ポータルサイト「IP Force」
特開2017-97819アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2017-97819(P2017-97819A)
(43)【公開日】2017年6月1日
(54)【発明の名称】アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20170428BHJP
G06F 11/34 20060101ALI20170428BHJP
【FI】
G06F21/55 320
G06F11/34 S
【審査請求】有
【請求項の数】10
【出願形態】OL
【全頁数】14
(21)【出願番号】特願2015-241949(P2015-241949)
(22)【出願日】2015年12月11日
(31)【優先権主張番号】104138484
(32)【優先日】2015年11月20日
(33)【優先権主張国】TW
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.FACEBOOK
2.Outlook
(71)【出願人】
【識別番号】502003596
【氏名又は名称】財団法人 資訊工業策進会
【氏名又は名称原語表記】INSTITUTE FOR INFORMATION INDUSTRY
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】謝 志宏
(72)【発明者】
【氏名】▲ライ▼ 家民
(72)【発明者】
【氏名】毛 敬豪
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042GA24
5B042JJ30
5B042MA14
5B042MC37
5B042MC40
(57)【要約】 (修正有)
【課題】アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムを提供する。【解決手段】検出モジュール11はユーザのアプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器13はこれらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成する。個人行為モデリング学習器15は、これらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成する。統合分析モジュール17は、これらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、これらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断する。
【選択図】図1
【特許請求の範囲】
【請求項1】
アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムであって、
ユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする検出モジュールと、
前記状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するための状況感知学習器と、
前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評估モデルを生成するための個人行為モデリング学習器と、
前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するための統合分析モジュールと、
を含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理システム。
ユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする検出モジュールと、
前記状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するための状況感知学習器と、
前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評估モデルを生成するための個人行為モデリング学習器と、
前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するための統合分析モジュールと、
を含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理システム。
【請求項2】
前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
【請求項3】
前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
【請求項4】
前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項1に記載の情報セキュリティー管理システム。
【請求項5】
前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項4に記載の情報セキュリティー管理システム。
【請求項6】
検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む情報セキュリティー管理システムに適用されると共に、アプリケーション層ログ分析を基礎とする情報セキュリティー管理方法であって、
前記検出モジュールによりユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーするステップと、
前記状況感知学習器により前記複数の状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するステップと、
前記個人行為モデリング学習器により前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するステップと、
前記統合分析モジュールにより前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記統合分析モジュールにより前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するステップとを含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理方法。
前記検出モジュールによりユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーするステップと、
前記状況感知学習器により前記複数の状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するステップと、
前記個人行為モデリング学習器により前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するステップと、
前記統合分析モジュールにより前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記統合分析モジュールにより前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するステップとを含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理方法。
【請求項7】
前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
【請求項8】
前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
【請求項9】
前記統合分析モジュールは、
前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断するというステップを実行して、前記連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項6に記載の情報セキュリティー管理方法。
前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断するというステップを実行して、前記連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項6に記載の情報セキュリティー管理方法。
【請求項10】
前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項9に記載の情報セキュリティー管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は情報セキュリティー管理システム及びその方法に関し、特に、アプリケーション層ログ(Application Level Log)分析を基礎とする情報セキュリティー管理システム及びその方法に関する。
【背景技術】
【0002】
従来の情報セキュリティー管理技術は情報セキュリティーを確保する目的が達成されるように、ファイアウォールのブラックリストフィルターリングメカニズムを多用している。しかし、上記やり方は効果的に実行されるために、技術者により予め決定したフィルターリングリストに依らざるを得ないものである。そこで、上記やり方は一定の専門家法則に限られ、柔軟性及び多様化を実現しにくいという適用における欠点を有する。
【0003】
また、近年、ネットワーク層ログ(例えば、ファイアウォールログまたはパケット量など)を利用してデータの分析と識別を行うことによって、情報セキュリティーに対する監視を達成することが提唱されている。しかし、現在の技術手段では、ネットワーク層分析を基礎とする情報セキュリティー管理システム及びその方法にも、相当多くの欠点及び解決すべき問題がある。例えば、ユーザの実際の行為及び意図を究めにくく、シーンドメインまたは状況の違いに応じて、柔軟に適当な調整を行うことができない。
【0004】
そこで、上記したことは、盛んになっている持続的標的型攻撃(Advanced persistent threat、APT)に対して、ネットワーク層ログ分析を基礎とする情報セキュリティー管理システム及びその方法が情報セキュリティーの確保に十分に適用されるものでないことを意味する。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の実施例はアプリケーション層ログ分析を基礎とする情報セキュリティー管理システムを提供する。
【課題を解決するための手段】
【0006】
本発明の実施例は検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む、アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムを提供する。検出モジュールはユーザのアプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器はこれらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成するためのものである。個人行為モデリング学習器は、これらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成するためのものである。統合分析モジュールは、これらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、統合分析モジュールによりこれらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するためのものである。イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つとを含む。
【0007】
また、本発明の実施例は検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む情報セキュリティー管理システムに適用されるアプリケーション層ログ分析を基礎とする情報セキュリティー管理方法を提供する。前記情報セキュリティー管理方法は以下のステップを含む。検出モジュールによりユーザのアプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器によりこれらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成する。個人行為モデリング学習器によりこれらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成する。統合分析モジュールによりこれらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、統合分析モジュールによりこれらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断する。イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つとを含む。
【発明の効果】
【0008】
本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法は主にユーザのアプリケーション層ログを採用して分析し、ユーザの連続行為に対してモデリングするとともに、異なる状況でのモデル選択を考慮することによって、ユーザによる異常行為が生じたかどうかを効果的に判断する。それに、本発明の実施例はユーザの連続行為に対してモデリングと判断を行うので、連続行為の間の差異を分析することによって、ユーザの意図を効果的に見つけ出すことができ、さらに異常行為を判断する時の正確性を向上させることができる。
【図面の簡単な説明】
【0009】
【図1】本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システムの機能ブロック図である。
【図2】本発明の実施例が提供するこれらのイベント組み合わせのうちの一つの模式図である。
【図3】本発明の実施例が提供するユーザにより実行されている連続行為の模式図である。
【図4】本発明の実施例が提供する情報セキュリティー管理システムにおける状況感知学習器と個人行為モデリング学習器が相互に作動する模式図である。
【図5】本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理方法のフローチャートである。
【図6】本発明の実施例が提供する情報セキュリティー管理方法において、統合分析モジュールによりこの連続行為に異常行為があるかどうかを判断するフローチャートである。
【発明を実施するための形態】
【0010】
以下に、図面により本発明の各種の実施例を説明して本発明を詳述する。しかし、本発明の概念は多くの異なる形式で表現される可能性があり、本文に述べられる例示的な実施例に限られると解釈すべきものではない。なお、図面において、同じ参考数字は類似素子の表示に用いられてもよい。
【0011】
図1を参照する。図1は本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システムの機能ブロック図である。情報セキュリティー管理システム1は検出モジュール11と、状況感知学習器13と、個人行為モデリング学習器15と、統合分析モジュール17とを含む。ただし、上記した各素子は単なるハードウェア電子回路により実現されてもよく、ハードウェア電子回路にファームウェアまたはソフトウェアを組み合わせるによって実現されてもよい。要するに、本発明はその具体的な実現方式を制限するものではない。また、上記した各素子は一体または分散に設けられてもよく、本発明もこれに制限されるものではない。図1の情報セキュリティー管理システム1も前記情報セキュリティー管理方法における一つの実現方式に過ぎず、本発明を制限するためのものではない。
【0012】
更には、検出モジュール11はユーザのアプリケーション層ログ(図示せず)に基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする。状況感知学習器13は、これらの状況特徴値を分析することによって、このユーザに関連する複数の状況識別インデックスを生成するためのものである。個人行為モデリング学習器15は、これらの行為序列データをモデリングすることによって、このユーザに関連する複数の行為評価モデルを生成するためのものである。統合分析モジュール17は、これらの状況識別インデックス及びこれらの行為評価モデルを統合することによってこのユーザに関連する複数のイベント組み合わせを生成するとともに、これらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するためのものである。
【0013】
詳しくは、情報セキュリティー管理システム1は検出モジュール11が作動する前、あるログ記録器(図示せず)を介してこのユーザに関連するアプリケーション層ログを予め取得してもよい。次に、検出モジュール11により、このアプリケーション層ログにおけるすべての記載内容が分析されることによって、複数の状況特徴値及び複数の行為序列データがキャプチャーされる。本発明はアプリケーション層ログが取得される詳細な実現方式を制限するものではなく、当業者により実際の要求または適用に従って設計可能なものである。また、アプリケーション層ログの技術特徴は当業者に一般に知られているので、ここで、アプリケーション層ログの分析に関する詳細内容を省略する。
【0014】
例えば、アプリケーション層ログに記録されている複数の状態コードにより、このユーザがある組の連続行為を実行したことが分析される場合(例えば、まず、Outlookを利用してメールを受信し、次に、Outlookを利用して大量のメールを送信し、最後に、Facebookにアクセスする。)、検出モジュール11はこの組の連続行為をこれらの行為序列データの一つとして更にキャプチャーすることができる。上記説明に基づき、当業者は前記状況特徴値がこのユーザによりある組の連続行為が実行される場合の時間、時点またはいかなる状況感知(Context awareness)インフォメイションを意味することが理解できるべきである。本発明は状況特徴値及び行為序列データがキャプチャーされる詳細な実現方式、または状況特徴値及び行為序列データの具体的な表現形式を制限するものでもなく、当業者により実際の要求または適用に従って設計可能なものである。
【0015】
これに対して、以上の内容における教示に従い、知られている既存のインフォメイションを通して、当業者はより上位のアプリケーション層ログにより分析することによって、支持する所定のネットワークハードウェア機器への接続に依る必要がないだけでなく、可読性が高いというメリットもあるので、本発明がネットワーク層ログ分析を基礎とする従来技術に比べ、既存の電子機器に容易に適応できるとともに、情報セキュリティーを確保する管理の強化に寄与することが理解できるべきである。なお、アプリケーション層のサービスは「ユーザの意図」を高度に具体化した表現であるので、アプリケーション層ログに基づいて分析する時、その記載内容の真実性を別に考慮する必要がなくなる。
【0016】
更には、仮にあるアプリケーション層ログにあるオフィス環境でのデスクトップパソコンにおける一定のユーザの毎日行為が記録されている場合、情報セキュリティー管理システム1は、まず、検出モジュール11にこのアプリケーション層ログに基づいて分析させることによって、複数の状況特徴値及び複数の行為序列データをキャプチャーする。これらの状況特徴値及びこれらの行為序列データは状況感知学習器13と個人行為モデリング学習器15が個別に処理を行う時の入力データとされる。
【0017】
これに対して、再び上記説明を例とすると、状況感知学習器13から生成したこれらの状況識別インデックスは「月曜日の勤務時間」、「月曜日の退勤時間」、「火曜日の勤務時間」、「火曜日の退勤時間」、「水曜日の勤務時間」等である可能性がある。これによって類推すると、個人行為モデリング学習器15から生成したこれらの行為評価モデルは何れかの一組の連続行為のマルコフモデル(Markov Model)である可能性がある。ただし、マルコフモデルは当業者に一般に知られているものなので、ここで、マルコフモデルに関する詳細内容を省略する。
【0018】
また、図2を参照する。図2は本発明の実施例が提供するこれらのイベント組み合わせのうちの一つの模式図である。ただし、図2におけるイベント組み合わせもこのユーザが水曜日の勤務時間(すなわち、状況識別インデックス)に実行可能な一組の連続行為のマルコフモデルを示すためのものである。以上の内容における教示に従って、当業者はイベント組み合わせのそれぞれがその状況識別インデックスにより、これらの行為評価モデルのうちの一つに対応にインデックスされるものであることが理解できる。ここで、上記状況識別インデックス及び行為評価モデルの具体的な表現方式は例として挙げられたものに過ぎず、本発明を制限するものではない。
【0019】
ちなみに、上記例は一定の環境にあるものなので、異なるタイムドメインにおける状況(例えば、「月曜日の勤務時間」、「月曜日の退勤時間」等)だけを考慮して対応する行為評価モデルを選択する。そこで、上記例において、イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの一つと、これらの行為評価モデルのうちの一つだけを含む。図2に示すように、本発明はこれに制限されるものではない。例えば、本発明が一定でない環境で実施される場合、本発明の実施例は異なるシーンドメイン(例えば、「場所A」、「場所B」等)及び異なるタイムドメインにある多重状況を同時に考慮して、対応する行為評価モデルを選択可能である。言い換えれば、イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つとを含む可能性がある。
【0020】
簡単に言えば、以上の内容における教示に従って、当業者は本発明の実施例が、状況感知学習器13及び個人行為モデリング学習器15から個別に出力した結果(すなわち、状況識別インデックス及行為評価モデル)を統合することによって、統合分析モジュール17にこのユーザがそれぞれの所定状況で(すなわち、それぞれの状況識別インデックス)実行可能な一組の連続行為のマルコフモデル(すなわち、行為評価モデル)をまとめさせることを主な精神の一つとすることが理解できるべきである。
【0021】
次に、統合分析モジュール17は更にこれらのイベント組み合わせに基づいて、このユーザが実行している一組の連続行為を比較することによって、実行されているこの組の連続行為に異常行為が生じたかどうかを判断するためのものである。例えば、図3を参照する。図3は本発明の実施例が提供するユーザにより実行されている連続行為の模式図である。ただし、図3におけるこの組の連続行為が同様に「水曜日の勤務時間」に生成されたものと仮定する。言い換えれば、図2におけるイベントモデルは過去の履歴時間以来、このユーザが各水曜日の勤務時間に実行可能な一組の連続行為のマルコフモデルを意味するが、図3におけるこの組の連続行為はこのユーザが目前の水曜日の勤務時間にリアルタイムに実行する一組の連続行為を意味する。
【0022】
図3におけるこの組の連続行為に対応する状況感知インフォメイション(すなわち、水曜日の勤務時間)と図2におけるイベント組み合わせの一つの状況識別インデックスとが合致したので、統合分析モジュール17は予想行為モデルとして図2における行為評価モデルを選択することができ、これによって、図3におけるこの組の連続行為に異常行為が生じたかどうかを更に決定するように、図3におけるこの組の連続行為がこの予想行為モデルに合致したかどうかを判断することができる。
【0023】
具体的には、統合分析モジュール17は図2における行為評価モデル(すなわち、図2におけるマルコフモデル)により、このユーザが過去の各水曜日の勤務時間に、このデスクトップパソコンで実行した連続行為が何か(例えば、行為A、行為B、行為C及び行為D)を明確に分かるようになる。しかし、このユーザが実行しているこの組の連続行為に(すなわち、図3)行為E及び行為Fの実行が増えたとともに、実行されているこの組の連続行為の手順も図2におけるマルコフモデルの確率分布に合致していない。そこで、統合分析モジュール17は上記した著しい差異により、実行されているこの組の連続行為に異常行為が生じた可能性があると更に判断することができる。
【0024】
より広義に長い目で見ると、この異常行為が生じた原因はこの組の連続行為を実行している人がこのユーザ本人でないことにある可能性があり、つまり、この組の連続行為が悪意を持ったあるハッカーに侵入された時の操作行為である可能性があるので、本発明の実施例の情報セキュリティー管理システム1はこの組の連続行為によりこのハッカーの使用意図を見つけ出して、さらに目前の脅威レベルを評価し、適当な保護対策を採用することもできる。上記したことは本発明の実施形態により続いて実行可能な対策の例の一つに過ぎず、本発明を制限するものではない。
【0025】
まとめて言えば、本発明の実施例はアプリケーション層ログによりユーザの連続行為をモデリングするとともに、異なる状況(例えば、シーンドメイン、タイムドメイン等)に対するモデルの選択を考慮することによって、識別の正確性及び適用の柔軟性を向上させることを精神とする。また、従来技術に多用されていた単一行為による判断と異なって、本発明の実施例では、ユーザの連続行為に対してモデリングと判断を行うので、連続行為の間の差異を分析することによって、ユーザの意図を効果的に見つけ出すことができ、さらに異常行為を判断する時の正確性を向上させることができる。
【0026】
一方、アプリケーション層ログに基づいて検出モジュール11によりキャプチャーされた状況特徴値及び行為序列データが複雑で多すぎる可能性があるので、状況感知学習器13及び個人行為モデリング学習器15の処理に時間がかかる。これに鑑みて、実際に、本発明の実施例における状況感知学習器13は個人行為モデリング学習器15から生成するこれらの行為評価モデルに同時に基づいて状況特徴値を分析することによって、ユーザに関連するこれらの状況識別インデックスを生成することができる。同様に、本発明の実施例における個人行為モデリング学習器15も状況感知学習器13から生成するこれらの状況識別インデックスに同時に基づいて行為序列データをモデリングすることによって、ユーザに関連するこれらの行為評価モデルを生成することができる。
【0027】
具体的には、図4を参照する。図4は本発明の実施例が提供する情報セキュリティー管理システムにおける状況感知学習器と個人行為モデリング学習器とが相互に作動する模式図である。このことから分かるように、状況感知学習器13と個人行為モデリング学習器15との間にお互いに影響し合う強化学習メカニズムが存在する可能性がある。しかし、上記した強化学習メカニズムによれば、状況感知学習器13と個人行為モデリング学習器15との間に出力される結果の正確性の向上に寄与する。
【0028】
例えば、再び上記説明を例とすると、状況感知学習器13により「月曜日の勤務時間」、「月曜日の退勤時間」、「火曜日の勤務時間」及び「火曜日の退勤時間」の4つの状況識別インデックスの生成が確定されておいた場合、状況感知学習器13はこの4つの状況識別インデックスを一緒に個人行為モデリング学習器15に入力して、個人行為モデリング学習器15にこの4つの状況識別インデックスに基づいてこれらの行為序列データに対して関連モデリングを行わせることによって、効果的に個人行為モデリング学習器15と協力して、複雑で多くの複数の行為序列データから、この4つの状況識別インデックスに対応する各行為評価モデルを優先に素早く作成することができる。要するに、本発明の実施例は状況感知学習器13と個人行為モデリング学習器15との間の強化学習メカニズムの具体的な実現方式を制限するものではなく、当業者により実際の要求または適用に従って設計可能なものである。
【0029】
なお、情報セキュリティー管理システムに関する作動フローを更に説明するために、本発明はその情報セキュリティー管理方法の一つの実施形態を更に提供する。図5を参照する。図5は本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理方法のフローチャートである。本例に記載される方法は図1に示す情報セキュリティー管理システム1に実行可能であるので、図1を一緒に参照して理解する。また、詳細のフローは前述した実施例に記載されているので、ここで省略する。
【0030】
まず、ステップS501において、検出モジュール11によりユーザのアプリケーション層ログ(図示せず)に基づいて複数の状況特徴値及び複数の行為序列データをキャプチャーする。次に、ステップS503において、状況感知学習器13によりこれらの状況特徴値を分析して、このユーザに関連する複数の状況識別インデックスを生成する。ステップS505において、個人行為モデリング学習器15によりこれらの行為序列データをモデリングして、このユーザに関連する複数の行為評価モデルを生成する。次に、ステップS507において、統合分析モジュール17によりこれらの状況識別インデックス及びこれらの行為評価モデルを統合して、このユーザに関連する複数のイベント組み合わせを生成する。最後に、ステップS509において、統合分析モジュール17によりこれらのイベント組み合わせに基づいてこのユーザが実行している一組の連続行為を比較することによって、実行されているこの組の連続行為に異常行為が生じたかどうかを判断する。イベント組み合わせのそれぞれはこれらの状況識別インデックスのうちの少なくとも一つと、これらの行為評価モデルのうちの一つを含む。
【0031】
上記したように、状況感知学習器13と個人行為モデリング学習器15との間にお互いに影響し合う強化学習メカニズムが存在する可能性がある。そこで、以上の内容における教示に従って、当業者はステップS503及びステップS505がお互いに干渉することなく並行に実行されるものであるはずと理解できるべきである。言い換えれば、状況感知学習器13は個人行為モデリング学習器15から生成するこれらの行為評価モデルに同時に基づいて状況特徴値を分析することによって、ユーザに関連するこれらの状況識別インデックスを生成することができる。個人行為モデリング学習器15も状況感知学習器13から生成するこれらの状況識別インデックスに同時に基づいて行為序列データをモデリングすることによって、ユーザに関連するこれらの行為評価モデルを生成することができる。
【0032】
一方、上記説明に基づいて、本発明はその統合分析モジュール17によりこの連続行為に異常行為が生じたかどうかを判断する(すなわち、ステップS509)一つの実施形態を更に提供する。図6を参照する。図6は本発明の実施例が提供する情報セキュリティー管理方法において、統合分析モジュールによりこの連続行為に異常行為があるかどうかを判断するフローチャートである。ただし、図5と同じ図6における一部のフローに同一符号を付しているので、ここで、その詳細について省略する。
【0033】
図5と図6を同時に参照する。ステップS509にステップS601〜ステップS607を更に含む。まず、ステップS601において、これらのイベント組み合わせの一つの状況識別インデックスがこの組の連続行為に対応する状況感知インフォメイションに合致した場合、統合分析モジュール17は予想行為モデルとしてこの状況識別インデックスに対応する行為評価モデルを選択することができる。次に、ステップS603において、この組の連続行為がこの予想行為モデルに合致したかどうかを比較する。最後に、ステップS605において、この組の連続行為がこの予想行為モデルに合致していない場合、この組の連続行為に異常行為が生じたと判断することができる。逆にステップS607において、この組の連続行為がこの予想行為モデルに合致した場合、この組の連続行為に異常行為が生じていないと判断することができる。
【0034】
上記してきたように、本発明の実施例が提供するアプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法は主にユーザのアプリケーション層ログを採用して分析し、ユーザの連続行為に対してモデリングするとともに、異なる状況でのモデル選択を考慮することによって、ユーザによる異常行為が生じたかどうかを効果的に判断する。それに、本発明の実施例はユーザの連続行為に対してモデリングと判断を行うので、連続行為の間の差異を分析することによって、ユーザの意図を効果的に見つけ出すことができ、さらに異常行為を判断する時の正確性を向上させることができる。
【0035】
以上のことは本発明の実施例に過ぎず、本発明の特許請求範囲を限定するものではない。
【符号の説明】
【0036】
1 情報セキュリティー管理システム11 検出モジュール
13 状況感知学習器
15 個人行為モデリング学習器
17 統合分析モジュール
【手続補正書】
【提出日】2017年2月7日
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
アプリケーション層ログ分析を基礎とする情報セキュリティー管理システムであって、
ユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする検出モジュールと、
前記状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するための状況感知学習器と、
前記ユーザに関連する前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するための個人行為モデリング学習器と、
前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するための統合分析モジュールと、
を含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理システム。
ユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーする検出モジュールと、
前記状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するための状況感知学習器と、
前記ユーザに関連する前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するための個人行為モデリング学習器と、
前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するための統合分析モジュールと、
を含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理システム。
【請求項2】
前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
【請求項3】
前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項1に記載の情報セキュリティー管理システム。
【請求項4】
前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項1に記載の情報セキュリティー管理システム。
【請求項5】
前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項4に記載の情報セキュリティー管理システム。
【請求項6】
検出モジュールと、状況感知学習器と、個人行為モデリング学習器と、統合分析モジュールとを含む情報セキュリティー管理システムに適用されると共に、アプリケーション層ログ分析を基礎とする情報セキュリティー管理方法であって、
前記検出モジュールによりユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーするステップと、
前記状況感知学習器により前記複数の状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するステップと、
前記個人行為モデリング学習器により前記ユーザに関連する前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するステップと、
前記統合分析モジュールにより前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記統合分析モジュールにより前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するステップとを含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理方法。
前記検出モジュールによりユーザの前記アプリケーション層ログに基づいて、複数の状況特徴値及び複数の行為序列データをキャプチャーするステップと、
前記状況感知学習器により前記複数の状況特徴値を分析することによって、前記ユーザに関連する複数の状況識別インデックスを生成するステップと、
前記個人行為モデリング学習器により前記ユーザに関連する前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する複数の行為評価モデルを生成するステップと、
前記統合分析モジュールにより前記複数の状況識別インデックス及び前記複数の行為評価モデルを統合することによって前記ユーザに関連する複数のイベント組み合わせを生成するとともに、前記統合分析モジュールにより前記複数のイベント組み合わせに基づいて、前記ユーザが実行している一組の連続行為を比較することによって、この組の連続行為に異常行為が生じたかどうかを判断するステップとを含み、
前記複数のイベント組み合わせのそれぞれは前記複数の状況識別インデックスのうちの少なくとも一つと、前記複数の行為評価モデルのうちの一つとを含むことを特徴とする情報セキュリティー管理方法。
【請求項7】
前記状況感知学習器は更に前記複数の行為評価モデルに基づいて前記複数の状況特徴値を分析することによって、前記ユーザに関連する前記複数の状況識別インデックスを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
【請求項8】
前記個人行為モデリング学習器は更に前記複数の状況識別インデックスに基づいて前記複数の行為序列データをモデリングすることによって、前記ユーザに関連する前記複数の行為評価モデルを生成するためのものであることを特徴とする請求項6に記載の情報セキュリティー管理方法。
【請求項9】
前記統合分析モジュールは、
前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断するというステップを実行して、前記連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項6に記載の情報セキュリティー管理方法。
前記複数のイベント組み合わせの一つの前記状況識別インデックスが前記組の連続行為に対応する状況感知インフォメイションに合致した場合、予想行為モデルとして前記状況識別インデックスに対応する前記行為評価モデルが選択され、更に前記組の連続行為が前記予想行為モデルに合致したかどうかを比較することによって、前記組の連続行為に前記異常行為が生じたかどうかを判断するというステップを実行して、前記連続行為に前記異常行為が生じたかどうかを判断することを特徴とする請求項6に記載の情報セキュリティー管理方法。
【請求項10】
前記組の連続行為が前記予想行為モデルに合致していない場合、前記統合分析モジュールにより前記組の連続行為に前記異常行為が生じたと判断されることを特徴とする請求項9に記載の情報セキュリティー管理方法。