特開2023-183023アラート峻別装置、アラート峻別方法およびアラート峻別プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023183023
(43)【公開日】2023-12-27
(54)【発明の名称】アラート峻別装置、アラート峻別方法およびアラート峻別プログラム
(51)【国際特許分類】
G06F 16/9035 20190101AFI20231220BHJP
【FI】
G06F16/9035
【審査請求】未請求
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2022096381
(22)【出願日】2022-06-15
(71)【出願人】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110002491
【氏名又は名称】弁理士法人クロスボーダー特許事務所
(72)【発明者】
【氏名】岩崎 亜衣子
(72)【発明者】
【氏名】山本 匠
(72)【発明者】
【氏名】宇谷 亮太
【テーマコード(参考)】
5B175
【Fターム(参考)】
5B175HA01
5B175JA02
(57)【要約】
【課題】ユーザが状況変化に伴う振る舞いの変化の詳細をデータベースに記載しなくても、アラートを峻別できるようにする。
【解決手段】状況変化検出部111は、ユーザの状況変化を知らせる通知データから状況変化情報を抽出する。影響特徴取得部112は、影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する。推測状態生成部113は、前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測状態情報を生成する。前記ユーザの振る舞いに対するアラートが発生した場合に、アラート峻別部122は、発生したアラートの誤検知可能性を前記推測状態情報に基づいて判定する。
【選択図】図1
【解決手段】状況変化検出部111は、ユーザの状況変化を知らせる通知データから状況変化情報を抽出する。影響特徴取得部112は、影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する。推測状態生成部113は、前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測状態情報を生成する。前記ユーザの振る舞いに対するアラートが発生した場合に、アラート峻別部122は、発生したアラートの誤検知可能性を前記推測状態情報に基づいて判定する。
【選択図】図1
【特許請求の範囲】
【請求項1】
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出部と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得部と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成部と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別部と、
を備えるアラート峻別装置。
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得部と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成部と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別部と、
を備えるアラート峻別装置。
【請求項2】
前記状況変化情報が、前記ユーザの変化後の状況に関する状況キーワードを示し、
前記影響特徴取得部は、前記状況変化情報に示される前記状況キーワードと同じ状況キーワードの影響特徴情報を取得する
請求項1に記載のアラート峻別装置。
前記影響特徴取得部は、前記状況変化情報に示される前記状況キーワードと同じ状況キーワードの影響特徴情報を取得する
請求項1に記載のアラート峻別装置。
【請求項3】
前記状況変化情報が、前記ユーザの状況が変化する変化期間を示し、
前記推測状態生成部は、前記変化期間を含む情報を前記推測状態情報として生成する
請求項1に記載のアラート峻別装置。
前記推測状態生成部は、前記変化期間を含む情報を前記推測状態情報として生成する
請求項1に記載のアラート峻別装置。
【請求項4】
前記推測状態生成部は、前記影響特徴情報の少なくとも一部を前記状況変化情報に基づいて変更し、変更後の前記影響特徴情報を含む情報を前記推測状態情報として生成する
請求項1に記載のアラート峻別装置。
請求項1に記載のアラート峻別装置。
【請求項5】
前記状況変化情報が、場所名を含み、
前記影響特徴情報が、場所についての特徴を含み、
前記推測状態生成部は、前記影響特徴情報に含まれる前記場所についての前記特徴を、前記状況変化情報に含まれる前記場所名に変更する
請求項4に記載のアラート峻別装置。
前記影響特徴情報が、場所についての特徴を含み、
前記推測状態生成部は、前記影響特徴情報に含まれる前記場所についての前記特徴を、前記状況変化情報に含まれる前記場所名に変更する
請求項4に記載のアラート峻別装置。
【請求項6】
前記アラートが、前記振る舞いが行われた場所の場所名を含み、
前記アラート峻別部は、前記アラートに含まれる前記場所名が前記推測状態情報に含まれる前記場所名と一致するか否かに基づいて、前記誤検知可能性を判定する
請求項5に記載のアラート峻別装置。
前記アラート峻別部は、前記アラートに含まれる前記場所名が前記推測状態情報に含まれる前記場所名と一致するか否かに基づいて、前記誤検知可能性を判定する
請求項5に記載のアラート峻別装置。
【請求項7】
前記推測状態情報を定期的に確認し、確認結果に応じて前記推測状態情報を管理する推測状態管理部を備える
請求項1に記載のアラート峻別装置。
請求項1に記載のアラート峻別装置。
【請求項8】
前記推測状態管理部は、前記推測状態情報に示される期間が過ぎている場合に前記推測状態情報を削除する
請求項7に記載のアラート峻別装置。
請求項7に記載のアラート峻別装置。
【請求項9】
前記推測状態管理部は、
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対する累計のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
請求項7に記載のアラート峻別装置。
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対する累計のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
請求項7に記載のアラート峻別装置。
【請求項10】
前記推測状態管理部は、
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対して累計のアラート回数と当日のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が1回以上であり、且つ、前記当日のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
請求項7に記載のアラート峻別装置。
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対して累計のアラート回数と当日のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が1回以上であり、且つ、前記当日のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
請求項7に記載のアラート峻別装置。
【請求項11】
前記推測状態生成部は、前記ユーザの個人情報を取得し、取得された個人情報と前記状況変化情報と前記響特徴情報を用いて、前記推測状態情報を生成する
請求項1に記載のアラート峻別装置。
請求項1に記載のアラート峻別装置。
【請求項12】
前記状況変化情報は、前記ユーザに関する抽象的な場所名を含み、
前記推測状態生成部は、前記状況変化情報に含まれる前記抽象的な場所名に対応する具体的な場所名を前記ユーザの前記個人情報から抽出し、抽出された具体的な場所名を前記推測状態情報に含める
請求項11に記載のアラート峻別装置。
前記推測状態生成部は、前記状況変化情報に含まれる前記抽象的な場所名に対応する具体的な場所名を前記ユーザの前記個人情報から抽出し、抽出された具体的な場所名を前記推測状態情報に含める
請求項11に記載のアラート峻別装置。
【請求項13】
前記影響特徴データベースの更新内容を受け付け、受け付け更新内容で前記影響特徴データベースを更新する影響特徴更新部を備える
請求項1から請求項12のいずれか1項に記載のアラート峻別装置。
請求項1から請求項12のいずれか1項に記載のアラート峻別装置。
【請求項14】
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出し、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得し、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成し、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定する
アラート峻別方法。
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得し、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成し、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定する
アラート峻別方法。
【請求項15】
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出処理と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得処理と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成処理と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別処理と、
をコンピュータに実行させるためのアラート峻別プログラム。
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得処理と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成処理と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別処理と、
をコンピュータに実行させるためのアラート峻別プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、アラートの峻別に関するものである。
【背景技術】
【0002】
攻撃検知技術として、ユーザごとの正常なふるまいを学習し、正常からの逸脱を異常として検知する技術がある。
例えば、ファイルアクセス、アクセス先URLおよび作業時間帯などについての普段の傾向が、ウェブアクセスログおよびファイルアクセスログを使って学習される。そして、その傾向から外れたログがあった場合に異常な行動が検知される。
個人に特化した振る舞いが学習されることで、攻撃者による成り済まし及び悪意のある内部犯行などが見つかることが期待されている。
例えば、ファイルアクセス、アクセス先URLおよび作業時間帯などについての普段の傾向が、ウェブアクセスログおよびファイルアクセスログを使って学習される。そして、その傾向から外れたログがあった場合に異常な行動が検知される。
個人に特化した振る舞いが学習されることで、攻撃者による成り済まし及び悪意のある内部犯行などが見つかることが期待されている。
【0003】
しかし、正当な理由で正常時(学習時)と異なる振る舞いを行った際に誤検知が起きてしまう。
正当な理由とは、例えば、入院先でのリモートワーク、怪我による作業効率の低下、介護または育児をしながらの勤務、海外出張、緊急で処理しなければならない案件の対応などである。
正当な理由とは、例えば、入院先でのリモートワーク、怪我による作業効率の低下、介護または育児をしながらの勤務、海外出張、緊急で処理しなければならない案件の対応などである。
【0004】
この課題に対して、検知のために利用されるログ以外の情報を利用する必要がある。
従来技術(例えば特許文献1の技術)では、保守などの予定情報を用いて、検知された操作が正常なものか又は不審なものか判断される。
従来技術(例えば特許文献1の技術)では、保守などの予定情報を用いて、検知された操作が正常なものか又は不審なものか判断される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2008-250728号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
従来技術では、アラートの峻別のために細かな情報をDBに直接ユーザが記載する必要がある。
しかし、振る舞いの変化が起きることと、それによって変化する内容を社員(ユーザ)に記載させると、そのような情報を用いて異常を検知しているということを知られてしまう可能性がある。そのため、悪意のある内部犯に情報を悪用されてしまう可能性がある。また、人手でDBを管理することは面倒である。
しかし、振る舞いの変化が起きることと、それによって変化する内容を社員(ユーザ)に記載させると、そのような情報を用いて異常を検知しているということを知られてしまう可能性がある。そのため、悪意のある内部犯に情報を悪用されてしまう可能性がある。また、人手でDBを管理することは面倒である。
【0007】
例えば、更新作業が5/8に端末Aに対して行う予定を立てた場合、DBには“日時:5/8”、“対象端末:端末A”、“対象オブジェクト:オブジェクトX”といった詳細なキーワードが登録される。そして、監視中に更新作業のアラートが発生したときには、“5/8”のアラートか、“端末A”に関するアラートか、“オブジェクトX”のアラートか、を確認して峻別される。この情報は保守を担当する保守員が記録する。
【0008】
ところで、近年では、働き方改革およびリモートワークの導入により、柔軟な働き方ができる企業が増えてきている。それにより、従来であれば、怪我で入院すると出社できないため仕事ができなかったが、リモートワークが可能な会社であれば、入院先でも仕事ができるようになった。しかし、入院先で仕事をするとなると、端末の位置情報が普段と変わったり、いつもと違う時間に仕事をすることになったり、通話会議ができなくなったり、怪我の影響で作業効率が落ちたり、正常時(学習時)と異なる振る舞いを引き起こす可能性がある。前述の理由による誤検知を従来技術で低減しようとすると、DBには入院場所の情報、診察の時間、作業の予定時間、通話会議の可否、作業に影響の出る怪我か否か、といった情報を記入することになる。
ほかにも、緊急で取り組む必要がある案件の対応で通常とは全く違う作業をすることになった場合は、アクセス先フォルダの傾向が変わること及び作業時間が増加することなどを誤検知低減のために記入する必要がある。
ほかにも、緊急で取り組む必要がある案件の対応で通常とは全く違う作業をすることになった場合は、アクセス先フォルダの傾向が変わること及び作業時間が増加することなどを誤検知低減のために記入する必要がある。
【0009】
本開示は、ユーザが状況変化に伴う振る舞いの変化の詳細をデータベースに記載しなくても、アラートを峻別できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
本開示のアラート峻別装置は、
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出部と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得部と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成部と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別部と、
を備える。
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出部と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得部と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成部と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別部と、
を備える。
【発明の効果】
【0011】
本開示によれば、ユーザが状況変化に伴う振る舞いの変化の詳細をデータベースに記載しなくても、アラートを峻別することが可能となる。
【図面の簡単な説明】
【0012】
【図1】実施の形態1におけるアラート峻別装置100の構成図。
【図2】実施の形態1におけるアラート峻別装置100の機能構成図。
【図3】実施の形態1におけるアラート峻別方法(推測)のフローチャート。
【図4】実施の形態1における影響特徴データベース180の例を示す図。
【図5】実施の形態1における影響特徴情報181の例を示す図。
【図6】実施の形態1における影響特徴情報181の例を示す図。
【図7】実施の形態1における推測状態情報171の例を示す図。
【図8】実施の形態1におけるアラート峻別方法(峻別)のフローチャート。
【図9】実施の形態1におけるステップS160のフローチャート。
【図10】実施の形態1における推測状態情報171の例を示す図。
【図11】実施の形態1における推測状態情報171の例を示す図。
【図12】実施の形態1における推測状態情報171の例を示す図。
【図13】実施の形態2におけるアラート峻別装置100の機能構成図。
【図14】実施の形態3におけるアラート峻別装置100の構成図。
【図15】実施の形態3におけるアラート峻別装置100の機能構成図。
【発明を実施するための形態】
【0013】
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
【0014】
実施の形態1.
【0015】
***構成の説明***
図1に基づいて、アラート峻別装置100の構成を説明する。
アラート峻別装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
図1に基づいて、アラート峻別装置100の構成を説明する。
アラート峻別装置100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104と入出力インタフェース105といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
【0016】
プロセッサ101は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ101はCPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
【0017】
メモリ102は揮発性または不揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAMである。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
RAMは、Random Access Memoryの略称である。
RAMは、Random Access Memoryの略称である。
【0018】
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM、HDD、フラッシュメモリまたはこれらの組み合わせである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
【0019】
通信装置104はレシーバ及びトランスミッタである。例えば、通信装置104は通信チップまたはNICである。アラート峻別装置100の通信は通信装置104を用いて行われる。
NICは、Network Interface Cardの略称である。
NICは、Network Interface Cardの略称である。
【0020】
入出力インタフェース105は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース105はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。アラート峻別装置100の入出力は入出力インタフェース105を用いて行われる。
USBは、Universal Serial Busの略称である。
USBは、Universal Serial Busの略称である。
【0021】
アラート峻別装置100は、状況変化推測部110と管理峻別部120と振る舞い検知部130といった要素を備える。状況変化推測部110は、状況変化検出部111と影響特徴取得部112と推測状態生成部113を備える。管理峻別部120は、推測状態管理部121とアラート峻別部122を備える。これらの要素はソフトウェアで実現される。
【0022】
補助記憶装置103には、状況変化推測部110と管理峻別部120と振る舞い検知部130としてコンピュータを機能させるためのアラート峻別プログラムが記憶されている。アラート峻別プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
補助記憶装置103には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
プロセッサ101は、OSを実行しながら、アラート峻別プログラムを実行する。
OSは、Operating Systemの略称である。
補助記憶装置103には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
プロセッサ101は、OSを実行しながら、アラート峻別プログラムを実行する。
OSは、Operating Systemの略称である。
【0023】
アラート峻別プログラムの入出力データは記憶部190に記憶される。
補助記憶装置103は記憶部190として機能する。但し、メモリ102、プロセッサ101内のレジスタおよびプロセッサ101内のキャッシュメモリなどの記憶装置が、補助記憶装置103の代わりに、又は、補助記憶装置103と共に、記憶部190として機能してもよい。
補助記憶装置103は記憶部190として機能する。但し、メモリ102、プロセッサ101内のレジスタおよびプロセッサ101内のキャッシュメモリなどの記憶装置が、補助記憶装置103の代わりに、又は、補助記憶装置103と共に、記憶部190として機能してもよい。
【0024】
アラート峻別装置100は、プロセッサ101を代替する複数のプロセッサを備えてもよい。
【0025】
アラート峻別プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
【0026】
図2に、アラート峻別装置100の機能構成を示す。
記憶部190には、影響特徴データベース180および推測状態データベース170が記憶される。
記憶部190には、影響特徴データベース180および推測状態データベース170が記憶される。
【0027】
***動作の説明***
アラート峻別装置100の動作の手順はアラート峻別方法に相当する。また、アラート峻別装置100の動作の手順はアラート峻別プログラムによる処理の手順に相当する。
アラート峻別装置100の動作の手順はアラート峻別方法に相当する。また、アラート峻別装置100の動作の手順はアラート峻別プログラムによる処理の手順に相当する。
【0028】
図3に基づいて、アラート峻別方法(推測)を説明する。
アラート峻別(推測)は、アラート211を峻別するための前処理である。
アラート峻別(推測)は、アラート211を峻別するための前処理である。
【0029】
ステップS110において、状況変化検出部111は、監視対象環境200から通知データ201を取得する。
監視対象環境200は、ユーザの振る舞いが監視されるシステムである。
通知データ201は、ユーザの状況変化を知らせるためのデータである。
通知データ201の具体例は、メールデータ、チャットデータ、音声データ、または、これらのログデータである。
監視対象環境200は、ユーザの振る舞いが監視されるシステムである。
通知データ201は、ユーザの状況変化を知らせるためのデータである。
通知データ201の具体例は、メールデータ、チャットデータ、音声データ、または、これらのログデータである。
【0030】
そして、状況変化検出部111は、通知データ201から状況変化情報を抽出する。
状況変化情報は、ユーザの状況変化を示す情報である。具体的には、状況変化情報は、ユーザ、変化後の状況、日時および期間などの情報を示す。
具体的には、通知データ201は、通知データ201に対して自然言語処理またはキーワードマッチングを実行することによって、状況変化情報を抽出する。
状況変化情報は、ユーザの状況変化を示す情報である。具体的には、状況変化情報は、ユーザ、変化後の状況、日時および期間などの情報を示す。
具体的には、通知データ201は、通知データ201に対して自然言語処理またはキーワードマッチングを実行することによって、状況変化情報を抽出する。
【0031】
社員は、仕事の内容の変化、仕事の増減、病気又は怪我のため定常作業ができないなど状況について、同じ部署の上司または同じ部署で一緒に働く人に連絡すると想定される。
例えば、通知データ201は、ユーザTから上司へのチャットのメッセージである。メッセージは「手を怪我して1週間入院することになりました。」という報告である。
この場合、影響特徴取得部112は、「ユーザT」と「手の怪我」と「入院」と「1週間」といった状況変化情報を抽出する。
例えば、通知データ201は、ユーザTから上司へのチャットのメッセージである。メッセージは「手を怪我して1週間入院することになりました。」という報告である。
この場合、影響特徴取得部112は、「ユーザT」と「手の怪我」と「入院」と「1週間」といった状況変化情報を抽出する。
【0032】
ステップS120において、影響特徴取得部112は、影響特徴データベース180から、抽出された状況変化情報に対応する影響特徴情報181を取得する。
影響特徴データベース180には、状況キーワードごとに影響特徴情報が登録されている。
状況キーワードは、なんらかの状況に関わるキーワードである。
影響特徴情報は、状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す。
影響特徴データベース180には、状況キーワードごとに影響特徴情報が登録されている。
状況キーワードは、なんらかの状況に関わるキーワードである。
影響特徴情報は、状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す。
【0033】
影響特徴情報181は、以下のように取得される。
影響特徴取得部112は、抽出された状況変化情報に示される状況変化に対応する状況キーワードの影響特徴情報181を取得する。
具体的には、影響特徴取得部112は、状況変化情報に示される状況キーワードと同じ状況キーワードの影響特徴情報181を取得する。
影響特徴取得部112は、抽出された状況変化情報に示される状況変化に対応する状況キーワードの影響特徴情報181を取得する。
具体的には、影響特徴取得部112は、状況変化情報に示される状況キーワードと同じ状況キーワードの影響特徴情報181を取得する。
【0034】
図4に、影響特徴データベース180の例を示す。
影響特徴データベース180では、状況キーワードと、アクセス先フォルダ、アクセス量、時間および場所などの影響特徴と、が互いに対応付けられている。
影響特徴データベース180では、状況キーワードと、アクセス先フォルダ、アクセス量、時間および場所などの影響特徴と、が互いに対応付けられている。
【0035】
影響特徴データベース180は、SOCスタッフ、または、振る舞い検知の構造(どの特徴を使って異常な振る舞いが検知されるか)を知っている人物によって作成される。影響特徴データベース180の作成には、攻撃の知見から得られる情報ではなく、特定状況下でのユーザの正常な振る舞いについての知見が必要である。SOCはセキュリティオペレーションセンタの略称である。
影響特徴データベース180は、監視対象環境200のセキュリティスタッフなどの手によって環境ごとにカスタマイズされてもよい。例えば、ある環境では、場所の特徴に関して、国内に限定して変化が許可される。また、ある環境では、入院先での作業は許可されないため、入院関係の振る舞いの変化の推測が使用されない。
影響特徴データベース180は、監視対象環境200のセキュリティスタッフなどの手によって環境ごとにカスタマイズされてもよい。例えば、ある環境では、場所の特徴に関して、国内に限定して変化が許可される。また、ある環境では、入院先での作業は許可されないため、入院関係の振る舞いの変化の推測が使用されない。
【0036】
図5に、影響特徴データベース180から抽出される影響特徴情報181の例を示す。
状況変化情報が「手の怪我」と「入院」といった状況変化を示すと仮定する。
この場合、影響特徴取得部112は、図4の影響特徴データベース180から、「怪我(手)」という状況キーワードに対応付けられた影響特徴と、「入院」という状況キーワードに対応付けられた影響特徴と、を取得する。
その結果、図5の影響特徴情報181が得られる。
状況変化情報が「手の怪我」と「入院」といった状況変化を示すと仮定する。
この場合、影響特徴取得部112は、図4の影響特徴データベース180から、「怪我(手)」という状況キーワードに対応付けられた影響特徴と、「入院」という状況キーワードに対応付けられた影響特徴と、を取得する。
その結果、図5の影響特徴情報181が得られる。
【0037】
ステップS130において、推測状態生成部113は、抽出された状況変化情報と取得された影響特徴情報181を用いて、推測状態情報171を生成する。
推測状態情報171は、ユーザについての推測される振る舞いの特徴を示す。
推測状態情報171は、ユーザについての推測される振る舞いの特徴を示す。
【0038】
推測状態情報171は、以下のように生成される。
状況変化情報が変化期間を示すと仮定する。変化期間は、ユーザの状況が変化する期間である。
この場合、推測状態生成部113は、変化期間を含む情報を生成する。生成される情報が、推測状態情報171となる。
状況変化情報が変化期間を示すと仮定する。変化期間は、ユーザの状況が変化する期間である。
この場合、推測状態生成部113は、変化期間を含む情報を生成する。生成される情報が、推測状態情報171となる。
【0039】
推測状態生成部113は、影響特徴情報181の少なくとも一部を、状況変化情報に基づいて変更する。そして、推測状態生成部113は、変更後の影響特徴情報181を含む情報を生成する。生成される情報が、推測状態情報171となる。
【0040】
例えば、状況変化情報が場所名を含む。また、影響特徴情報181が場所についての特徴を含む。この場合、推測状態情報171は、影響特徴情報181に含まれる場所についての特徴を、状況変化情報に含まれる場所名に変更する。
【0041】
図6に、変更された影響特徴情報181の例を示す。
状況変化情報が「千葉」という場所名を含むと仮定する。
この場合、推測状態生成部113は、図5の影響特徴情報181の中の場所についての特徴を、図6に示すように「千葉」に変更する。
状況変化情報が「千葉」という場所名を含むと仮定する。
この場合、推測状態生成部113は、図5の影響特徴情報181の中の場所についての特徴を、図6に示すように「千葉」に変更する。
【0042】
図7に、推測状態情報171の例を示す。
状況変化情報が「ユーザT」と「1週間」と「手の怪我」と「入院」といった情報を含むと仮定する。
この場合、推測状態生成部113は、図6の影響特徴情報181に「ユーザT」、「1週間」、「入院」および「怪我(手)」を追加する。
これにより、推測状態情報171が生成される。
状況変化情報が「ユーザT」と「1週間」と「手の怪我」と「入院」といった情報を含むと仮定する。
この場合、推測状態生成部113は、図6の影響特徴情報181に「ユーザT」、「1週間」、「入院」および「怪我(手)」を追加する。
これにより、推測状態情報171が生成される。
【0043】
ステップS140において、推測状態管理部121は、生成された推測状態情報を推測状態データベース170に登録する。
推測状態データベース170には、ユーザごとに推測状態情報が登録される。
推測状態データベース170には、ユーザごとに推測状態情報が登録される。
【0044】
図8に基づいて、アラート峻別方法(峻別)を説明する。
アラート峻別方法(峻別)は、アラート211を峻別する処理である。
アラート峻別方法(峻別)は、アラート211を峻別する処理である。
【0045】
ステップS150において、振る舞い検知部130は、監視対象環境200から監視対象ログ202を取得する。
そして、振る舞い検知部130は、取得した監視対象ログ202を用いて、異常な振る舞いの検知(異常検知)を行う。
異常検知は、任意の方法で実施されて構わない。
そして、振る舞い検知部130は、取得した監視対象ログ202を用いて、異常な振る舞いの検知(異常検知)を行う。
異常検知は、任意の方法で実施されて構わない。
【0046】
異常な振る舞いが検知された場合、振る舞い検知部130は、アラート211を出力する。
アラート211は、検知された振る舞いの詳細(アラート内容)を示すデータである。
具体的には、アラート211は、日時、対象ユーザおよびアラート原因などを示す。
アラート211は、検知された振る舞いの詳細(アラート内容)を示すデータである。
具体的には、アラート211は、日時、対象ユーザおよびアラート原因などを示す。
【0047】
ステップS160およびステップS170は、振る舞い検知部130からアラート211が出力された場合に、つまり、アラート211が発生した場合に実行される。
【0048】
ステップS160において、アラート峻別部122は、アラート211の対象ユーザの推測状態情報171に基づいて、アラート211の誤検知可能性を判定する。
誤検知可能性は、アラート211が異常な振る舞いの誤検知のために発生した可能性である。
例えば、誤検知可能性は、優先度またはスコアによって示される。誤検知可能性が高い場合、アラート211の優先度は低い。誤検知可能性が低い場合、アラート211の優先度は高い。優先度が高いアラート211は、極めて不審な状況で発生したアラートである。
誤検知可能性は、アラート211が異常な振る舞いの誤検知のために発生した可能性である。
例えば、誤検知可能性は、優先度またはスコアによって示される。誤検知可能性が高い場合、アラート211の優先度は低い。誤検知可能性が低い場合、アラート211の優先度は高い。優先度が高いアラート211は、極めて不審な状況で発生したアラートである。
【0049】
図9に基づいて、ステップS160の詳細を説明する。
ステップS161において、推測状態管理部121は、推測状態データベース170を検索し、アラート211の対象ユーザの推測状態情報171を見つける。
アラート211の対象ユーザの推測状態情報171が見つかった場合、推測状態管理部121は、推測状態データベース170から、アラート211の対象ユーザの推測状態情報171を取得する。
ステップS161において、推測状態管理部121は、推測状態データベース170を検索し、アラート211の対象ユーザの推測状態情報171を見つける。
アラート211の対象ユーザの推測状態情報171が見つかった場合、推測状態管理部121は、推測状態データベース170から、アラート211の対象ユーザの推測状態情報171を取得する。
【0050】
アラート211の対象ユーザの推測状態情報171を取得できた場合、処理はステップS162に進む。
アラート211の対象ユーザの推測状態情報171を取得できなかった場合、処理は終了する。この場合、アラート211は峻別されない。
アラート211の対象ユーザの推測状態情報171を取得できなかった場合、処理は終了する。この場合、アラート211は峻別されない。
【0051】
ステップS162において、アラート峻別部122は、取得された推測状態情報171の中に、アラート原因に対応する特徴があるか判定する。
【0052】
例えば、アラート211が、アクセス先フォルダ、アクセス量、時間および場所を、アアラート原因の情報として示す。
この場合、アラート峻別部122は、アクセス先フォルダとアクセス量と時間と場所の少なくともいずれかの情報が推測状態情報171に含まれるか判定する。
この場合、アラート峻別部122は、アクセス先フォルダとアクセス量と時間と場所の少なくともいずれかの情報が推測状態情報171に含まれるか判定する。
【0053】
アラート原因に対応する特徴がある場合、処理はステップS163に進む。
アラート原因に対応する特徴がない場合、処理は終了する。この場合、アラート211は峻別されない。
アラート原因に対応する特徴がない場合、処理は終了する。この場合、アラート211は峻別されない。
【0054】
ステップS163において、推測状態管理部121は、取得された推測状態情報171の中に、アラート原因に対応する特徴に対するアラート回数を記録する。
アラート回数は、推測状態情報171の管理のために使用される。
アラート回数は、推測状態情報171の管理のために使用される。
【0055】
図10に、推測状態情報171の例を示す。
推測状態管理部121は、推測状態情報171の特徴ごとに、アラート回数(累計)およびアラート回数(日)を記録する。
アラート回数(累計)は、推測状態情報171が登録されてから当日までの累計のアラート回数である。
アラート回数(日)は、当日のアラート回数である。
推測状態管理部121は、推測状態情報171の特徴ごとに、アラート回数(累計)およびアラート回数(日)を記録する。
アラート回数(累計)は、推測状態情報171が登録されてから当日までの累計のアラート回数である。
アラート回数(日)は、当日のアラート回数である。
【0056】
図9に戻り、ステップS164から説明を続ける。
ステップS164において、アラート峻別部122は、アラート原因の情報(アラート内容)を取得された推測状態情報171と比較する。
ステップS164において、アラート峻別部122は、アラート原因の情報(アラート内容)を取得された推測状態情報171と比較する。
【0057】
ステップS165において、アラート峻別部122は、比較結果に基づいてアラート211の誤検知可能性を判定する。
【0058】
例えば、ユーザの振る舞いの場所が「神奈川」ではなく「千葉」であったため、アラート211が発生したと仮定する。アラート211は、「千葉」をアラート原因の情報として示す。
また、ユーザの推測状態情報171が場所についての特徴として「千葉」を示すと仮定する。この場合、アラート峻別部122は、アラート211の誤検知可能性が高いと判定する。
また、推測状態情報171が場所についての特徴として「影響の可能性あり」を示すと仮定する。この場合、アラート峻別部122は、アラート211の誤検知可能性があると判定する。
また、ユーザの推測状態情報171が場所についての特徴として「千葉」を示すと仮定する。この場合、アラート峻別部122は、アラート211の誤検知可能性が高いと判定する。
また、推測状態情報171が場所についての特徴として「影響の可能性あり」を示すと仮定する。この場合、アラート峻別部122は、アラート211の誤検知可能性があると判定する。
【0059】
そして、アラート峻別部122は、判定された誤検知可能性を示す情報をアラート211に付与する。
誤検知可能性を示す情報が付与されたアラート211が、峻別済みアラート212である。
誤検知可能性を示す情報が付与されたアラート211が、峻別済みアラート212である。
【0060】
図8に戻り、ステップS170を説明する。
ステップS170において、アラート峻別部122は、峻別済みアラート212(またはアラート211)を出力する。
ステップS160でアラート211が峻別された場合、峻別済みアラート212が出力される。
ステップS160でアラート211が峻別されなかった場合、アラート211が出力される。
ステップS170において、アラート峻別部122は、峻別済みアラート212(またはアラート211)を出力する。
ステップS160でアラート211が峻別された場合、峻別済みアラート212が出力される。
ステップS160でアラート211が峻別されなかった場合、アラート211が出力される。
【0061】
例えば、アラート峻別部122は、峻別済みアラート212(またはアラート211)をディスプレイに表示する。
【0062】
峻別済みアラート212の誤検知可能性が高い場合、アラート峻別部122は、峻別済みアラート212の出力を取りやめてもよい。
【0063】
以下に、アラート峻別方法(管理)を説明する。
アラート峻別方法(管理)は、推測状態データベース170を定期的に確認し、確認結果に応じて各推測状態情報171を管理する処理である。
アラート峻別方法(管理)は、推測状態データベース170を定期的に確認し、確認結果に応じて各推測状態情報171を管理する処理である。
【0064】
推測状態情報171は、以下のように管理される。
推測状態管理部121は、定期的に(例えば1日に1回)、推測状態情報171に示される期間と当日の日付を確認する。
推測状態情報171に示される期間が過ぎている場合、推測状態管理部121は、推測状態情報171を推測状態データベース170から削除する。
推測状態管理部121は、定期的に(例えば1日に1回)、推測状態情報171に示される期間と当日の日付を確認する。
推測状態情報171に示される期間が過ぎている場合、推測状態管理部121は、推測状態情報171を推測状態データベース170から削除する。
【0065】
推測状態管理部121は、定期的に(例えば1日に1回)、推測状態情報171に示される期間と当日の日付を確認する。
また、推測状態管理部121は、推測状態情報171の各特徴に対して記録されたアラート回数(累計)を確認する。
推測状態情報171に示される期間が始まって一定期間(例えば2日)が経過していて、且つ、アラート回数(累計)が0回である場合、推測状態管理部121は、該当する特徴を推測状態情報171から削除する。
但し、推測状態管理部121は、推測状態情報171を推測状態データベース170から削除してもよい。
また、推測状態管理部121は、推測状態情報171の各特徴に対して記録されたアラート回数(累計)を確認する。
推測状態情報171に示される期間が始まって一定期間(例えば2日)が経過していて、且つ、アラート回数(累計)が0回である場合、推測状態管理部121は、該当する特徴を推測状態情報171から削除する。
但し、推測状態管理部121は、推測状態情報171を推測状態データベース170から削除してもよい。
【0066】
図11に、推測状態情報171の例を示す。
推測状態情報171において、期間が始まって一定期間が過ぎても場所に対するアラート回数(累計)が0回である。
この場合、推測状態管理部121は、場所についての特徴を推測状態情報171から削除する。
推測状態情報171において、期間が始まって一定期間が過ぎても場所に対するアラート回数(累計)が0回である。
この場合、推測状態管理部121は、場所についての特徴を推測状態情報171から削除する。
【0067】
推測状態管理部121は、定期的に(例えば1日に1回)、推測状態情報171に示される期間と当日の日付を確認する。
また、推測状態管理部121は、推測状態情報171の各特徴に対して記録されたアラート回数(累計)およびアラート回数(日)を確認する。
推測状態情報171に示される期間が始まっていて、且つ、アラート回数(累計)が1回以上であり、且つ、アラート回数(日)が0回である場合、推測状態管理部121は、該当する特徴を推測状態情報171から削除する。
但し、推測状態管理部121は、推測状態情報171を推測状態データベース170から削除してもよい。
また、推測状態管理部121は、推測状態情報171の各特徴に対して記録されたアラート回数(累計)およびアラート回数(日)を確認する。
推測状態情報171に示される期間が始まっていて、且つ、アラート回数(累計)が1回以上であり、且つ、アラート回数(日)が0回である場合、推測状態管理部121は、該当する特徴を推測状態情報171から削除する。
但し、推測状態管理部121は、推測状態情報171を推測状態データベース170から削除してもよい。
【0068】
図12に、推測状態情報171の例を示す。
推測状態情報171において、場所にについてアラート回数(累計)は0回ではないがアラート回数(日)は0回である。
例えば、次のような事例が想定される。入院のために振る舞いの場所が東京から千葉に変わり、アラート211が5日間発生していた。しかし、退院のため振る舞いの場所が千葉から東京に戻り、アラート211が発生しなくなった。
この場合、推測状態管理部121は、場所についての特徴を推測状態情報171から削除する。
推測状態情報171において、場所にについてアラート回数(累計)は0回ではないがアラート回数(日)は0回である。
例えば、次のような事例が想定される。入院のために振る舞いの場所が東京から千葉に変わり、アラート211が5日間発生していた。しかし、退院のため振る舞いの場所が千葉から東京に戻り、アラート211が発生しなくなった。
この場合、推測状態管理部121は、場所についての特徴を推測状態情報171から削除する。
【0069】
***実施の形態1の効果***
実施の形態1は、以下のような効果を奏する。
従来技術においては、ユーザがアラートの峻別のための細かな情報を直接その都度、DBに記載する必要があった。
実施の形態1では、メール、チャット、音声情報などから得られる情報と、その情報と組み合わせる情報を記載したDB(180)用いられる。これにより、振る舞い検知の判断に使う特徴について具体的にユーザに知られることなく、自動でアラートの峻別のための細かな情報を生成し、アラートの峻別が可能になる。また、影響特徴DB(180)を事前に(人手で)構成しておくことで、振る舞い検知の運用開始時からの利用が可能になる
実施の形態1は、以下のような効果を奏する。
従来技術においては、ユーザがアラートの峻別のための細かな情報を直接その都度、DBに記載する必要があった。
実施の形態1では、メール、チャット、音声情報などから得られる情報と、その情報と組み合わせる情報を記載したDB(180)用いられる。これにより、振る舞い検知の判断に使う特徴について具体的にユーザに知られることなく、自動でアラートの峻別のための細かな情報を生成し、アラートの峻別が可能になる。また、影響特徴DB(180)を事前に(人手で)構成しておくことで、振る舞い検知の運用開始時からの利用が可能になる
【0070】
実施の形態2.
人事データベース203を利用する形態について、主に実施の形態1と異なる点を図13に基づいて説明する。
人事データベース203を利用する形態について、主に実施の形態1と異なる点を図13に基づいて説明する。
【0071】
***構成の説明***
図13に基づいて、アラート峻別装置100の構成を説明する。
アラート峻別装置100の構成は、実施の形態1における構成と同様である。
但し、影響特徴データベース180は、ユーザ別または役職別に用意される。例えば、影響特徴データベース180の各影響特徴情報181がユーザ別または役職別に複製され、ユーザ別または役職別に各影響特徴情報181が編集される。
図13に基づいて、アラート峻別装置100の構成を説明する。
アラート峻別装置100の構成は、実施の形態1における構成と同様である。
但し、影響特徴データベース180は、ユーザ別または役職別に用意される。例えば、影響特徴データベース180の各影響特徴情報181がユーザ別または役職別に複製され、ユーザ別または役職別に各影響特徴情報181が編集される。
【0072】
また、アラート峻別装置100は、人事データベース203を利用する。
人事データベース203には、複数のユーザのそれぞれの個人情報が登録されている。
人事データベース203には、複数のユーザのそれぞれの個人情報が登録されている。
【0073】
***動作の説明***
アラート峻別方法は、実施の形態1における方法と同様である。
但し、アラート峻別方法において、人事データベース203が以下のように利用される。
アラート峻別方法は、実施の形態1における方法と同様である。
但し、アラート峻別方法において、人事データベース203が以下のように利用される。
【0074】
ステップS130において、推測状態生成部113は、人事データベース203から、ユーザの個人情報を取得する。
そして、推測状態生成部113は、抽出された状況変化情報と取得された影響特徴情報181と取得された個人情報を用いて、推測状態情報171を生成する。
そして、推測状態生成部113は、抽出された状況変化情報と取得された影響特徴情報181と取得された個人情報を用いて、推測状態情報171を生成する。
【0075】
推測状態情報171は、以下のように生成される。
状況変化情報がユーザに関する抽象的な場所名を含む場合、推測状態生成部113は、抽象的な場所名に対応する具体的な場所名をユーザの個人情報から抽出する。そして、推測状態生成部113は、具体的な場所名を推測状態情報171に含める。
例えば、通知データ201が「介護のため実家で作業します。」という報告を示し、状況変化情報が「実家」という抽象的な場所名を含む。この場合、推測状態生成部113は、ユーザの実家がある「千葉」という具体的な場所名をユーザの個人情報から抽出する。そして、推測状態生成部113は、「千葉」という特徴を推測状態情報171に含める。
状況変化情報がユーザに関する抽象的な場所名を含む場合、推測状態生成部113は、抽象的な場所名に対応する具体的な場所名をユーザの個人情報から抽出する。そして、推測状態生成部113は、具体的な場所名を推測状態情報171に含める。
例えば、通知データ201が「介護のため実家で作業します。」という報告を示し、状況変化情報が「実家」という抽象的な場所名を含む。この場合、推測状態生成部113は、ユーザの実家がある「千葉」という具体的な場所名をユーザの個人情報から抽出する。そして、推測状態生成部113は、「千葉」という特徴を推測状態情報171に含める。
【0076】
***実施の形態2の効果***
実施の形態2により、アラートの峻別の精度をより良くすることが可能になる。
実施の形態2により、アラートの峻別の精度をより良くすることが可能になる。
【0077】
【0078】
***構成の説明***
図14および図15に基づいて、アラート峻別装置100の構成を説明する。
アラート峻別装置100は、さらに、影響特徴更新部140を備える。
アラート峻別プログラムは、さらに、影響特徴更新部140としてコンピュータを機能させる。
図14および図15に基づいて、アラート峻別装置100の構成を説明する。
アラート峻別装置100は、さらに、影響特徴更新部140を備える。
アラート峻別プログラムは、さらに、影響特徴更新部140としてコンピュータを機能させる。
【0079】
***動作の説明***
影響特徴更新部140以外の各要素の動作は、実施の形態1および実施の形態2における動作と同じである。
影響特徴更新部140以外の各要素の動作は、実施の形態1および実施の形態2における動作と同じである。
【0080】
影響特徴更新部140の動作を説明する。
管理者は、ディスプレイに表示される峻別済みアラート212(またはアラート211)に基づいて、影響特徴データベース180の更新を検討する。そして、管理者は、影響特徴データベース180の更新内容をアラート峻別装置100に入力する。
影響特徴更新部140は、入力された更新内容を受け付け、受け付けた更新内容で影響特徴データベース180を更新する。
管理者は、ディスプレイに表示される峻別済みアラート212(またはアラート211)に基づいて、影響特徴データベース180の更新を検討する。そして、管理者は、影響特徴データベース180の更新内容をアラート峻別装置100に入力する。
影響特徴更新部140は、入力された更新内容を受け付け、受け付けた更新内容で影響特徴データベース180を更新する。
【0081】
例えば、状態Aでは特徴Bに影響が出ることが影響特徴データベース180に記載されている。特徴Cに関するアラートを確認した結果、誤検知可能性が高いと判定され、状態Aによる影響が確認された。このとき、状態Aの時に特徴Cに関して誤検知があった(影響が出た)ことをフィードバックすることで、影響特徴データベース180が更新される。
例えば、介護という状況では場所に影響が出ることを前提にして。影響特徴データベース180が作成されていた。実際運用してみると、時間の特徴に影響が出ているアラートが見られた。この場合、介護の時に時間の特徴に影響ありといった内容をSOCスタッフがフィードバックする。この場合、介護という状況では場所と時間に影響が出るといった内容で影響特徴データベース180が更新される。
例えば、状態Aの時に特徴Bに影響が出るといった内容が影響特徴データベース180に記載されていた。しばらく(例えばXか月)アラートを監視した結果、状態Aのアラート峻別のために一度も特徴Bが使われることがなかった。この場合、状態Aの時に特徴Bに影響が出るという情報が影響特徴データベース180から削除される。
例えば、育児という状況では場所と時間に影響が出ることを前提にして、影響特徴データベース180が作成されていた。実際運用してみると、Xか月たっても場所に関するアラートは出てこなかった。この場合、育児という状況では場所に影響が出ずに時間に影響が出るといった内容で影響特徴データベース180が更新される。
例えば、介護という状況では場所に影響が出ることを前提にして。影響特徴データベース180が作成されていた。実際運用してみると、時間の特徴に影響が出ているアラートが見られた。この場合、介護の時に時間の特徴に影響ありといった内容をSOCスタッフがフィードバックする。この場合、介護という状況では場所と時間に影響が出るといった内容で影響特徴データベース180が更新される。
例えば、状態Aの時に特徴Bに影響が出るといった内容が影響特徴データベース180に記載されていた。しばらく(例えばXか月)アラートを監視した結果、状態Aのアラート峻別のために一度も特徴Bが使われることがなかった。この場合、状態Aの時に特徴Bに影響が出るという情報が影響特徴データベース180から削除される。
例えば、育児という状況では場所と時間に影響が出ることを前提にして、影響特徴データベース180が作成されていた。実際運用してみると、Xか月たっても場所に関するアラートは出てこなかった。この場合、育児という状況では場所に影響が出ずに時間に影響が出るといった内容で影響特徴データベース180が更新される。
【0082】
***実施の形態3の効果***
実施の形態3により、アラートの峻別の精度をより良くすることが可能になる。
実施の形態3により、アラートの峻別の精度をより良くすることが可能になる。
【0083】
***実施の形態の補足***
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
【0084】
アラート峻別装置100の各要素は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
アラート峻別装置100の各要素の「部」は、「処理」、「工程」、「回路」または「サーキットリ」と読み替えてもよい。
アラート峻別装置100の各要素の「部」は、「処理」、「工程」、「回路」または「サーキットリ」と読み替えてもよい。
【0085】
以下に、本開示の諸態様を付記として記載する。
【0086】
(付記1)
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出部と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得部と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成部と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別部と、
を備えるアラート峻別装置。
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出部と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得部と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成部と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別部と、
を備えるアラート峻別装置。
【0087】
(付記2)
前記状況変化情報が、前記ユーザの変化後の状況に関する状況キーワードを示し、
前記影響特徴取得部は、前記状況変化情報に示される前記状況キーワードと同じ状況キーワードの影響特徴情報を取得する
付記1に記載のアラート峻別装置。
前記状況変化情報が、前記ユーザの変化後の状況に関する状況キーワードを示し、
前記影響特徴取得部は、前記状況変化情報に示される前記状況キーワードと同じ状況キーワードの影響特徴情報を取得する
付記1に記載のアラート峻別装置。
【0088】
(付記3)
前記状況変化情報が、前記ユーザの状況が変化する変化期間を示し、
前記推測状態生成部は、前記変化期間を含む情報を前記推測状態情報として生成する
付記1または付記2に記載のアラート峻別装置。
前記状況変化情報が、前記ユーザの状況が変化する変化期間を示し、
前記推測状態生成部は、前記変化期間を含む情報を前記推測状態情報として生成する
付記1または付記2に記載のアラート峻別装置。
【0089】
(付記4)
前記推測状態生成部は、前記影響特徴情報の少なくとも一部を前記状況変化情報に基づいて変更し、変更後の前記影響特徴情報を含む情報を前記推測状態情報として生成する
付記1から付記3のいずれか1項に記載のアラート峻別装置。
前記推測状態生成部は、前記影響特徴情報の少なくとも一部を前記状況変化情報に基づいて変更し、変更後の前記影響特徴情報を含む情報を前記推測状態情報として生成する
付記1から付記3のいずれか1項に記載のアラート峻別装置。
【0090】
(付記5)
前記状況変化情報が、場所名を含み、
前記影響特徴情報が、場所についての特徴を含み、
前記推測状態生成部は、前記影響特徴情報に含まれる前記場所についての前記特徴を、前記状況変化情報に含まれる前記場所名に変更する
付記4に記載のアラート峻別装置。
前記状況変化情報が、場所名を含み、
前記影響特徴情報が、場所についての特徴を含み、
前記推測状態生成部は、前記影響特徴情報に含まれる前記場所についての前記特徴を、前記状況変化情報に含まれる前記場所名に変更する
付記4に記載のアラート峻別装置。
【0091】
(付記6)
前記アラートが、前記振る舞いが行われた場所の場所名を含み、
前記アラート峻別部は、前記アラートに含まれる前記場所名が前記推測状態情報に含まれる前記場所名と一致するか否かに基づいて、前記誤検知可能性を判定する
付記5に記載のアラート峻別装置。
前記アラートが、前記振る舞いが行われた場所の場所名を含み、
前記アラート峻別部は、前記アラートに含まれる前記場所名が前記推測状態情報に含まれる前記場所名と一致するか否かに基づいて、前記誤検知可能性を判定する
付記5に記載のアラート峻別装置。
【0092】
(付記7)
前記推測状態情報を定期的に確認し、確認結果に応じて前記推測状態情報を管理する推測状態管理部を備える
付記1から付記6のいずれか1項に記載のアラート峻別装置。
前記推測状態情報を定期的に確認し、確認結果に応じて前記推測状態情報を管理する推測状態管理部を備える
付記1から付記6のいずれか1項に記載のアラート峻別装置。
【0093】
(付記8)
前記推測状態管理部は、前記推測状態情報に示される期間が過ぎている場合に前記推測状態情報を削除する
付記7に記載のアラート峻別装置。
前記推測状態管理部は、前記推測状態情報に示される期間が過ぎている場合に前記推測状態情報を削除する
付記7に記載のアラート峻別装置。
【0094】
(付記9)
前記推測状態管理部は、
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対する累計のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
付記7または付記8に記載のアラート峻別装置。
前記推測状態管理部は、
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対する累計のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
付記7または付記8に記載のアラート峻別装置。
【0095】
(付記10)
前記推測状態管理部は、
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対して累計のアラート回数と当日のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が1回以上であり、且つ、前記当日のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
付記7から付記9のいずれか1項に記載のアラート峻別装置。
前記推測状態管理部は、
前記推測状態情報の中に、前記アラートに示されるアラート原因に対応する特徴に対して累計のアラート回数と当日のアラート回数を記録し、
前記推測状態情報に示される期間が始まって一定期間が経過していて、且つ、前記累計のアラート回数が1回以上であり、且つ、前記当日のアラート回数が0回である場合に、該当する特徴を前記推測状態情報から削除する
付記7から付記9のいずれか1項に記載のアラート峻別装置。
【0096】
(付記11)
前記推測状態生成部は、前記ユーザの個人情報を取得し、取得された個人情報と前記状況変化情報と前記響特徴情報を用いて、前記推測状態情報を生成する
付記1から付記10のいずれか1項に記載のアラート峻別装置。
前記推測状態生成部は、前記ユーザの個人情報を取得し、取得された個人情報と前記状況変化情報と前記響特徴情報を用いて、前記推測状態情報を生成する
付記1から付記10のいずれか1項に記載のアラート峻別装置。
【0097】
(付記12)
前記状況変化情報は、前記ユーザに関する抽象的な場所名を含み、
前記推測状態生成部は、前記状況変化情報に含まれる前記抽象的な場所名に対応する具体的な場所名を前記ユーザの前記個人情報から抽出し、抽出された具体的な場所名を前記推測状態情報に含める
付記11に記載のアラート峻別装置。
前記状況変化情報は、前記ユーザに関する抽象的な場所名を含み、
前記推測状態生成部は、前記状況変化情報に含まれる前記抽象的な場所名に対応する具体的な場所名を前記ユーザの前記個人情報から抽出し、抽出された具体的な場所名を前記推測状態情報に含める
付記11に記載のアラート峻別装置。
【0098】
(付記13)
前記影響特徴データベースの更新内容を受け付け、受け付け更新内容で前記影響特徴データベースを更新する影響特徴更新部を備える
付記1から付記12に記載のアラート峻別装置。
前記影響特徴データベースの更新内容を受け付け、受け付け更新内容で前記影響特徴データベースを更新する影響特徴更新部を備える
付記1から付記12に記載のアラート峻別装置。
【0099】
(付記14)
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出し、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得し、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成し、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定する
アラート峻別方法。
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出し、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得し、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成し、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定する
アラート峻別方法。
【0100】
(付記15)
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出処理と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得処理と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成処理と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別処理と、
をコンピュータに実行させるためのアラート峻別プログラム。
ユーザの状況変化を知らせる通知データから前記状況変化を示す状況変化情報を抽出する状況変化検出処理と、
状況キーワードごとに前記状況キーワードに関する状況が振る舞いに与える影響についての特徴を示す影響特徴情報が登録された影響特徴データベースから、前記状況変化情報に示される前記状況変化に対応する状況キーワードの影響特徴情報を取得する影響特徴取得処理と、
前記状況変化情報と取得された影響特徴情報を用いて、前記ユーザについての推測される振る舞いの特徴を示す推測状態情報を生成する推測状態生成処理と、
前記ユーザの振る舞いに対するアラートが発生した場合に、発生したアラートが異常な振る舞いの誤検知のために発生した誤検知可能性を前記推測状態情報に基づいて判定するアラート峻別処理と、
をコンピュータに実行させるためのアラート峻別プログラム。
【符号の説明】
【0101】
100 アラート峻別装置、101 プロセッサ、102 メモリ、103 補助記憶装置、104 通信装置、105 入出力インタフェース、110 状況変化推測部、111 状況変化検出部、112 影響特徴取得部、113 推測状態生成部、120 管理峻別部、121 推測状態管理部、122 アラート峻別部、130 振る舞い検知部、140 影響特徴更新部、170 推測状態データベース、171 推測状態情報、180 影響特徴データベース、181 影響特徴情報、190 記憶部、200 監視対象環境、201 通知データ、202 監視対象ログ、203 人事データベース、211 アラート、212 峻別済みアラート。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】