ホーム > 特許ランキング > ASTRONSECURITY
知財求人 - 知財ポータルサイト「IP Force」
特開2024-14653クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム及び予測方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024014653
(43)【公開日】2024-02-01
(54)【発明の名称】クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム及び予測方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20240125BHJP
【FI】
G06F21/57 370
【審査請求】有
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2022133235
(22)【出願日】2022-08-24
(11)【特許番号】
(45)【特許公報発行日】2023-10-25
(31)【優先権主張番号】10-2022-0091247
(32)【優先日】2022-07-22
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】522192920
【氏名又は名称】アストロンセキュリティー
【氏名又は名称原語表記】ASTRONSECURITY
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】チョウ クンソク
(57)【要約】 (修正有)
【課題】クラウド資産を対象に、異常兆候を予め予測して、危険の予測数値を該当の会員社に知らせる、クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム及び予測方法を提供する。
【解決手段】セキュリティ危険を予測する予測システムは、クラウドログとシステムログをリアルタイムで収集して、活動ログをAIアルゴリズムを通じて学習する。学習を通じて保護対象別に該当保護対象に対する活動の中、以前になかった新規な活動を把握して、把握した新規活動がセキュリティに関連された新規活動であれば、該当の新規活動が含まれた第1活動パタンを把握して後、該当の新規活動に対する事前準備活動の次数を把握して、上記の新規活動に対する事前準備活動の次数に対応する危険度の点数を把握して、把握した各新規活動の危険度の点数を合算して各保護対象の危険度の点数を算出し、保護対象に対するセキュリティ危険を予測する。
【選択図】図9
【解決手段】セキュリティ危険を予測する予測システムは、クラウドログとシステムログをリアルタイムで収集して、活動ログをAIアルゴリズムを通じて学習する。学習を通じて保護対象別に該当保護対象に対する活動の中、以前になかった新規な活動を把握して、把握した新規活動がセキュリティに関連された新規活動であれば、該当の新規活動が含まれた第1活動パタンを把握して後、該当の新規活動に対する事前準備活動の次数を把握して、上記の新規活動に対する事前準備活動の次数に対応する危険度の点数を把握して、把握した各新規活動の危険度の点数を合算して各保護対象の危険度の点数を算出し、保護対象に対するセキュリティ危険を予測する。
【選択図】図9
【特許請求の範囲】
【請求項1】
クラウドシステムとAPI通信を行ってクラウドログを収集し、各クラウド資産のエージェントからシステムログを収集する情報収集部;
上記のクラウドログと上記のシステムログを会員社別及び保護対象別に分類して保存する情報分類部;
上記の情報収集部でリアルタイムで収集された保護対象の活動ログを学習して新規活動が発生したかを把握し、新規活動が発生すれば、新規活動が含まれた活動パタンを把握する活動学習部;
保護対象別に上記の新規活動と上記の活動パタンを受信すると、上記の新規活動が上記の活動パタンで事前準備活動の次数を把握する危険性把握部;及び
上記の新規活動に対する事前準備活動の次数を把握し、把握した次数に対して既選定された危険度の点数を把握し、各新規活動に対する危険度の点数を合算して該当の保護対象に対する危険度の点数を算出する予測点数の算出部を含む、
クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
上記のクラウドログと上記のシステムログを会員社別及び保護対象別に分類して保存する情報分類部;
上記の情報収集部でリアルタイムで収集された保護対象の活動ログを学習して新規活動が発生したかを把握し、新規活動が発生すれば、新規活動が含まれた活動パタンを把握する活動学習部;
保護対象別に上記の新規活動と上記の活動パタンを受信すると、上記の新規活動が上記の活動パタンで事前準備活動の次数を把握する危険性把握部;及び
上記の新規活動に対する事前準備活動の次数を把握し、把握した次数に対して既選定された危険度の点数を把握し、各新規活動に対する危険度の点数を合算して該当の保護対象に対する危険度の点数を算出する予測点数の算出部を含む、
クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
【請求項2】
上記のクラウドログと上記のシステムログに含まれた脆弱点の診断用の情報を用いて、各会員社の各保護対象に対する脆弱点の診断を行う脆弱点の診断部;
上記の脆弱点の診断部で行った脆弱点の診断結果を基に各保護対象に対する脆弱状態を把握して管理しており、現在行われた各保護対象の診断結果を用いて、新規のセキュリティ脅威対象である第1予測対象を選定する対象選定部;及び
上記の第1予測対象に対して脆弱状態が安全状態から不安状態に変更された脆弱進行期間を把握して、上記の脆弱進行期間の活動ログを抽出する活動ログの抽出部をさらに含み、
上記の活動学習部は、上記の脆弱進行期間の活動ログを学習し、上記の第1予測対象に対する第1新規活動と上記の第1新規活動が含まれた第1活動パタンを把握し、上記の第1予測対象と既設定された第2予測対象の対するリアルタイム活動ログを学習して、上記の第1及び第2予測対象のそれぞれに対する第2新規活動と上記の第2新規活動が含まれた第2活動パタンを把握し、
上記の危険性の把握部は、上記の第1新規活動が上記の第1活動パタンで何次の事前準備活動であるかを把握して、上記の第1及び第2予測対象のそれぞれの上記の第2新規活動が上記の第2活動パタンで事前準備活動の次数を把握し、
上記の予測点数の算出部は、上記の第1予測対象の第1新規活動に対する事前準備活動の次数に対応して既設定された危険度の点数を把握して、把握した各第1新規活動に対する危険度の点数を合算して上記の第1予測対象に対する1次危険度の点数を算出し、上記の第1及び第2予測対象のそれぞれの第2新規活動に対する事前準備活動の次数に対応し、既設定された危険度の点数を把握し、把握した各第2新規活動に対する危険度の点数を算出して、1次及び2次危険度の点数を合算して上記の第1及び第2予測対象のそれぞれに対する最終の危険度の点数を算出する、
請求項1に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
上記の脆弱点の診断部で行った脆弱点の診断結果を基に各保護対象に対する脆弱状態を把握して管理しており、現在行われた各保護対象の診断結果を用いて、新規のセキュリティ脅威対象である第1予測対象を選定する対象選定部;及び
上記の第1予測対象に対して脆弱状態が安全状態から不安状態に変更された脆弱進行期間を把握して、上記の脆弱進行期間の活動ログを抽出する活動ログの抽出部をさらに含み、
上記の活動学習部は、上記の脆弱進行期間の活動ログを学習し、上記の第1予測対象に対する第1新規活動と上記の第1新規活動が含まれた第1活動パタンを把握し、上記の第1予測対象と既設定された第2予測対象の対するリアルタイム活動ログを学習して、上記の第1及び第2予測対象のそれぞれに対する第2新規活動と上記の第2新規活動が含まれた第2活動パタンを把握し、
上記の危険性の把握部は、上記の第1新規活動が上記の第1活動パタンで何次の事前準備活動であるかを把握して、上記の第1及び第2予測対象のそれぞれの上記の第2新規活動が上記の第2活動パタンで事前準備活動の次数を把握し、
上記の予測点数の算出部は、上記の第1予測対象の第1新規活動に対する事前準備活動の次数に対応して既設定された危険度の点数を把握して、把握した各第1新規活動に対する危険度の点数を合算して上記の第1予測対象に対する1次危険度の点数を算出し、上記の第1及び第2予測対象のそれぞれの第2新規活動に対する事前準備活動の次数に対応し、既設定された危険度の点数を把握し、把握した各第2新規活動に対する危険度の点数を算出して、1次及び2次危険度の点数を合算して上記の第1及び第2予測対象のそれぞれに対する最終の危険度の点数を算出する、
請求項1に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
【請求項3】
上記の保護対象はそれぞれの各会員社が保有したすべての個別のアカウント及びすべてのクラウド資産の中の少なくとも一つである、
請求項1に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
請求項1に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
【請求項4】
上記の危険性の把握部は、上記の第2活動パタンが新規活動パタンであれば、上記の第2新規活動に対する事前準備活動の次数を把握して、上記の第2活動パタンが新規活動パタンではない以前に把握した活動パタンであれば、上記の第2活動パタンに対する危険フラグを設定する、
請求項2に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
請求項2に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム。
【請求項5】
各保護対象に対するクラウドログとシステムログをリアルタイムで収集する段階;
該当の会員社の各保護対象別にクラウドログとシステムログに含まれたすべての活動ログをAIアルゴリズムを通じて学習する段階;
上記のAIアルゴリズムを通じた学習を通じて保護対象別に該当の保護対象に対する活動の中、以前になかった新規活動を把握して、把握した新規活動がセキュリティに関連される新規活動であれば、該当の新規活動が含まれた第1活動パタンを把握する段階;
上記の第1活動パタンで該当の新規活動に対する事前準備活動の次数を把握する段階;
上記の新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;及び
把握した各新規活動の危険度の点数を合算し、各保護対象の危険度の点数を算出する段階を含む、
クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
該当の会員社の各保護対象別にクラウドログとシステムログに含まれたすべての活動ログをAIアルゴリズムを通じて学習する段階;
上記のAIアルゴリズムを通じた学習を通じて保護対象別に該当の保護対象に対する活動の中、以前になかった新規活動を把握して、把握した新規活動がセキュリティに関連される新規活動であれば、該当の新規活動が含まれた第1活動パタンを把握する段階;
上記の第1活動パタンで該当の新規活動に対する事前準備活動の次数を把握する段階;
上記の新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;及び
把握した各新規活動の危険度の点数を合算し、各保護対象の危険度の点数を算出する段階を含む、
クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
【請求項6】
会員社別の各保護対象に対するクラウドログ及びシステムログを用いて、上記の各保護対象に対する脆弱点の診断を行う段階;
上記の各保護対象の中、上記の脆弱点の診断の結果で脆弱状態が不安状態に変わった保護対象を第1予測対象に選定する段階;
上記の第1予測対象に対して脆弱進行期間を把握する段階;
上記の脆弱進行期間の中、上記の第1予測対象に関連される活動ログを抽出してAIアルゴリズムを通じて学習する段階;
上記のAIアルゴリズムを通じた学習を通じて、第1予測対象に対する第1新規活動及び上記の第1新規活動が含まれた第1活動パタンを把握する段階;
上記の第1活動パタンで第1新規活動に対する事前準備活動の次数を把握する段階;
上記の第1新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;
上記で把握した各第1新規活動の危険度の点数を合算して第1予測対象の1次危険度の点数を算出する段階;
上記の第1予測対象と上記の不安状態で既設定されている第2予測対象のそれぞれについてリアルタイムで受信される活動ログをAIアルゴリズムで学習する段階;
上記のAIアルゴリズムを通じた学習を通じて、上記の第1及び第2予測対象のそれぞれの第2新規活動及び上記の第2新規活動を含む第2活動パタンを把握する段階;
上記の第2活動パタンで上記の第2新規活動に対する事前準備活動の次数を把握する段階;
上記の第2新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;
把握した上記の第2新規活動のそれぞれに対する危険度の点数を合算して第1及び第2予測対象のそれぞれの2次危険度の点数を算出する段階;及び
上記の2次危険度の点数と上記の第1危険度の点数を合算し最終の危険度の点数を算出する段階を含む、
請求項5に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
上記の各保護対象の中、上記の脆弱点の診断の結果で脆弱状態が不安状態に変わった保護対象を第1予測対象に選定する段階;
上記の第1予測対象に対して脆弱進行期間を把握する段階;
上記の脆弱進行期間の中、上記の第1予測対象に関連される活動ログを抽出してAIアルゴリズムを通じて学習する段階;
上記のAIアルゴリズムを通じた学習を通じて、第1予測対象に対する第1新規活動及び上記の第1新規活動が含まれた第1活動パタンを把握する段階;
上記の第1活動パタンで第1新規活動に対する事前準備活動の次数を把握する段階;
上記の第1新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;
上記で把握した各第1新規活動の危険度の点数を合算して第1予測対象の1次危険度の点数を算出する段階;
上記の第1予測対象と上記の不安状態で既設定されている第2予測対象のそれぞれについてリアルタイムで受信される活動ログをAIアルゴリズムで学習する段階;
上記のAIアルゴリズムを通じた学習を通じて、上記の第1及び第2予測対象のそれぞれの第2新規活動及び上記の第2新規活動を含む第2活動パタンを把握する段階;
上記の第2活動パタンで上記の第2新規活動に対する事前準備活動の次数を把握する段階;
上記の第2新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;
把握した上記の第2新規活動のそれぞれに対する危険度の点数を合算して第1及び第2予測対象のそれぞれの2次危険度の点数を算出する段階;及び
上記の2次危険度の点数と上記の第1危険度の点数を合算し最終の危険度の点数を算出する段階を含む、
請求項5に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
【請求項7】
上記の保護対象は、それぞれの会員社が保有したすべての個別のアカウント及びすべてのクラウド資産の中の少なくとも一つである、
請求項5または請求項6に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
請求項5または請求項6に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
【請求項8】
上記の第2活動パタンが新規活動ではない、以前に把握した活動パタンであれば、上記の第2活動パタンに対して危険フラグを設定する段階をさらに含む、
請求項6に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
請求項6に記載のクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はクラウドコンピューティング環境で会員社のクラウド資産やアカウントに対するセキュリティ危険を人工知能(AI:Artificial Intelligence)を基盤にリアルタイムで予測して予測結果を知らせるセキュリティ危険予測システム及び予測方法に関するものである。
【背景技術】
【0002】
クラウドコンピューティングは企業や政府機関及び個人の立場で別の投資なしに迅速かつ必要なだけIT資産を確保することができ、脚光を浴びている。現在、クラウドコンピューティングを提供する代表的な企業はアマゾン、マイクロソフト、グーグル、オラクルなどがあり、アマゾンはAWS(Amazon Web Service)、グーグルはGCP(Google Cloud Platform)、マイクロソフトはAzure、オラクルはOCI(Oracle Cloud Infrastructure)で命名されるクラウドコンピューティングサービスを提供している。
【0003】
このようなクラウド事業者が提供するクラウドコンピューティングネットワークはアマゾンのAWSを一例にすれば、複数の地域(region)で区分されて、複数の地域それぞれは複数の可用領域(AZ:Availability Zone)を含む。そして、複数の可用領域それぞれは複数のVPC(Virtual Private Cloud)を含んでおり、複数のVPCのそれぞれは複数のサブネットを含み、複数のサブネットそれぞれはゲートウェイ、ネットワークファイアウォール及びクラウド資産を含む。クラウド資産はバーチャルホスト(つまり、仮想サーバー)、データベース及びコンテナである。
【0004】
クラウドコンピューティング環境では各クラウド資産に対するセキュリティの政策とファイアウォールの政策が設定されており、クラウド資産のそれぞれに接近制御の制限のためのパスワードなどの接近の制限が設定されている。
【0005】
しかし、クラウド資産は会員社ごとにお互いに異なる環境で構成されており、頻繁な生成、削除及び変更により管理が煩わしく、状況の把握が複雑である。また、クラウドシステムでハッキングの危険が徐々に増加している傾向である。
【0006】
このようなクラウドコンピューティングで実際にハッキングが発生した場合、迅速な原因把握と対応が難しい実情であり、それに応じて迅速な原因把握と対応のために、異常の兆候を予め予測して備えておくことが最も効果的なセキュリティの方案である。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】大韓民国公開特許公報第10-2343501号(登録日2021.12.22)
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明は、脆弱点の診断を通じて把握されたセキュリティが脆弱したクラウド資産を対象に、異常兆候を予め予測して、危険の予測数値を該当の会員社に知らせる、クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム及び予測方法を提供するものである。
【0009】
また、本発明は、個々人の平常時と異なる新しい活動を人工知能を通じて把握して、新しい活動がセキュリティに悪影響を及ぼす悪意的な事前準備行為の認知によりセキュリティ危険を予測することに用いる、クラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム及び予測方法を提供するものである。
【課題を解決するための手段】
【0010】
上記の課題を達成するための本発明の一実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムは、クラウドシステムとAPI通信を行ってクラウドログを収集し、各クラウド資産のエージェントからシステムログを収集する情報収集部;上記のクラウドログと上記のシステムログを会員社別及び保護対象別に分類して保存する情報分類部;上記の情報収集部でリアルタイムで収集された保護対象の活動ログを学習して新規活動が発生したがを把握し、新規活動が発生すれば、新規活動が含まれた活動パタンを把握する活動学習部;保護対象別に上記の新規活動と上記の活動パタンを受信すると、上記の新規活動が上記の活動パタンで事前準備活動の次数を把握する危険性把握部;及び上記の新規活動に対する事前準備活動の次数を把握し、把握した次数に対して既選定された危険度の点数を把握し、各新規活動に対する危険度の点数を合算して該当の保護対象に対する危険度の点数を算出する予測点数の算出部を含むことができる。
【0011】
本発明の一実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムは、上記のクラウドログと上記のシステムログに含まれた脆弱点の診断用の情報を用いて、各会員社の各保護対象に対する脆弱点の診断を行う脆弱点の診断部;上記の脆弱点の診断部で行った脆弱点の診断結果を基に各保護対象に対する脆弱状態を把握して管理しており、現在行われた各保護対象の診断結果を用いて、新規のセキュリティ脅威対象である第1予測対象を選定する対象選定部;及び上記の第1予測対象に対して脆弱状態が安全状態から不安状態に変更された脆弱進行期間を把握して、上記の脆弱進行期間の活動ログを抽出する活動ログの抽出部をさらに含み、この場合、上記の活動学習部は、上記の脆弱進行期間の活動ログを学習し、上記の第1予測対象に対する第1新規活動と上記の第1新規活動が含まれた第1活動パタンを把握し、上記の第1予測対象と既設定された第2予測対象の対するリアルタイム活動ログを学習して、上記の第1及び第2予測対象のそれぞれに対する第2新規活動と上記の第2新規活動が含まれた第2活動パタンを把握し、上記の危険性の把握部は、上記の第1新規活動が上記の第1活動パタンで何次の事前準備活動であるかを把握して、上記の第1及び第2予測対象のそれぞれの上記の第2新規活動が及び上記の第2活動パタンで事前準備活動の次数を把握し、上記の予測点数の算出部は、上記の第1予測対象の第1新規活動に対する事前準備活動の次数に対応して既設定された危険度の点数を把握して、把握した各第1新規活動に対する危険度の点数を合算して上記の第1予測対象に対する1次危険度の点数を算出し、上記の第1及び第2予測対象のそれぞれの第2新規活動に対する事前準備活動の次数に対応し、既設定された危険度の点数を把握し、把握した各第2新規活動に対する危険度の点数を算出して、1次及び2次危険度の点数を合算して上記の第1及び第2予測対象のそれぞれに対する最終の危険度の点数を算出することができる。
【0012】
上記の保護対象はそれぞれの各会員社が保有したすべての個別のアカウント及びすべてのクラウド資産の中の少なくとも一つであることができる。
【0013】
上記の危険性の把握部は、上記の第2活動パタンが新規活動パタンであれば、上記の第2新規活動に対する事前準備活動の次数を把握して、上記の第2活動パタンが新規活動パタンではない以前に把握した活動パタンであれば、上記の第2活動パタンに対する危険フラグを設定することができる。
【0014】
本発明の他の実施例によるAI基盤のセキュリティ危険を予測する予測方法は、各保護対象に対するクラウドログとシステムログをリアルタイムで収集する段階;該当の会員社の各保護対象別にクラウドログとシステムログに含まれたすべての活動ログをAIアルゴリズムを通じて学習する段階;上記のAIアルゴリズムを通じた学習を通じて保護対象別に該当の保護対象に対する活動の中、以前になかった新規活動を把握し、把握した新規活動がセキュリティに関連される新規活動であれば、該当の新規活動が含まれた第1活動パタンを把握する段階;上記の第1活動パタンで該当の新規活動に対する事前準備活動の次数を把握する段階;上記の新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;及び把握した各新規活動の危険度の点数を合算し、各保護対象の危険度の点数を算出する段階を含むことができる。
【0015】
本発明の他の実施例によるAI基盤のセキュリティ危険を予測する予測方法は、会員社別の各保護対象に対するクラウドログ及びシステムログを用いて、上記の各保護対象に対する脆弱点の診断を行う段階;上記の各保護対象の中、上記の脆弱点の診断の結果で脆弱状態が不安状態に変わった保護対象を第1予測対象に選定する段階;上記の第1予測対象に対して脆弱進行期間を把握する段階;上記の脆弱進行期間の中、上記の第1予測対象に関連される活動ログを抽出してAIアルゴリズムを通じて学習する段階;上記のAIアルゴリズムを通じた学習を通じて、第1予測対象に対する第1新規活動及び上記の第1新規活動が含まれた第1活動パタンを把握する段階;上記の第1活動パタンで第1新規活動に対する事前準備活動の次数を把握する段階;上記の第1新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;上記で把握した各第1新規活動の危険度の点数を合算して第1予測対象の1次危険度の点数を算出する段階;上記の第1予測対象と上記の不安状態で既設定されている第2予測対象のそれぞれについてリアルタイムで受信される活動ログをAIアルゴリズムで学習する段階;上記のAIアルゴリズムを通じた学習を通じて、上記の第1及び第2予測対象のそれぞれの第2新規活動及び上記の第2新規活動を含む第2活動パタンを把握する段階;上記の第2活動パタンで上記の第2新規活動に対する事前準備活動の次数を把握する段階;上記の第2新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する段階;把握した上記の第2新規活動のそれぞれに対する危険度の点数を合算して上記の第1及び第2予測対象のそれぞれの2次危険度の点数を算出する段階;及び上記の2次危険度の点数と上記の第1危険度の点数を合算し最終の危険度の点数を算出する段階を含むことができる。
【発明の効果】
【0016】
本発明はハッキングなどの悪意的な脅威が発生する前に、悪意的な脅威の発生可能性を予め予測して、該当の会員社に知らせ、悪意的な脅威を予め遮断するようにする。
【0017】
また、本発明は悪意的な脅威の可能性を発生させるアカウントと把握して、該当の会員社に知らせて悪意的な脅威を事前に予め遮断できるようにする。
【図面の簡単な説明】
【0018】
【図1】本発明の実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムのネットワーク環境を示した図面である。
【図2】本発明の第1実施例によるセキュリティ危険の予測サービスの概念図である。
【図3】本発明の第2実施例によるセキュリティ危険の予測サービスの概念図である。
【図4】本発明の実施例による活動パタンを説明するための図面である。
【図5】本発明の実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムでデータを収集する方法を示した図面である。
【図6】本発明の第1実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムのブロック構成図である。
【図7】本発明の第1実施例によるAI基盤のセキュリティ危険を予測する予測方法に関するフローチャートである。
【図8】本発明の第2実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムのブロック構成図である。
【図9】本発明の第2実施例によるAI基盤のセキュリティ危険を予測する予測方法に関するフローチャートである。
【図10】本発明の実施例による2次危険度の点数の算出方法に関するフローチャートである。
【図11】本発明の実施例による脆弱性の点検項目の一部を示した点検項目リストである。
【発明を実施するための形態】
【0019】
以下、添付された図面を参考にして本明細書に開示された実施例を詳しく説明するが、図面符号に関係なく同一であったり類似な構成要素は同一な参照符号を付与して、これに対する重複される説明は省略するようにする。また、本明細書に開示された実施例を説明するのにおいて関連された公知技術に対する具体的な説明が本明細書に開示された実施例の要旨を不明瞭にすると判断される場合、その詳しい説明を省略する。
【0020】
第1、第2などのように序数を含む用語は様々な構成要素を説明するのに用いることができるが、上記の構成要素は上記の用語により限定されることはない。上記の用語は一つの構成要素を他の構成要素から区別する目的のみに用いられる。
単数の表現は文脈上、明白に異なるように意味しない限り、複数の表現を含む。
単数の表現は文脈上、明白に異なるように意味しない限り、複数の表現を含む。
【0021】
本出願で、説明される各段階は特別な因果関係により羅列される順番により行わなければならない場合を除いて、羅列された順番と関係なく行われることができる。
【0022】
本出願で、「含む」または「有する」などの用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定するものであり、一つまたはそれ以上の異なる特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加可能性を予め排除しないものと理解するべきである。
【0023】
以下、添付された図面を参考にして本発明について説明する。
図1は本発明の実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムのネットワーク環境を示した図面である。図1を参考にすれば、クラウドコンピューティング環境でクラウド事業者の会員社、つまり、企業、国家機関などは少なくとも一つのVPCを生成して用い、各会員社はお互いに異なるクラウド環境を組成して運営している。例えば、A社は一つのVPC11を保有して運営しており、B社は2個のVPC12、13を保有して運営しており、C社は4個のVPC14、15、16、17を保有して運営している。
図1は本発明の実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムのネットワーク環境を示した図面である。図1を参考にすれば、クラウドコンピューティング環境でクラウド事業者の会員社、つまり、企業、国家機関などは少なくとも一つのVPCを生成して用い、各会員社はお互いに異なるクラウド環境を組成して運営している。例えば、A社は一つのVPC11を保有して運営しており、B社は2個のVPC12、13を保有して運営しており、C社は4個のVPC14、15、16、17を保有して運営している。
【0024】
そして、会員社別VPCにはVPCを構成するサブネットの個数、各サブネットに含まれたクラウド資産の個数が会員社ごとに様々である。ここで、クラウド資産はバーチャルホスト、コンテナ及びデータベースを含む。
【0025】
一方、各会員社はクラウドシステム200に接続するための会員社のアカウントをまず生成及び登録して、この後、個人(またはグループ)が用いる少なくとも一つの個別(personal)のアカウントを生成して登録し用いる。
【0026】
クラウド事業者システムであるクラウドシステム200はVPCの生成、サブネットの生成、クラウド資産の生成をサポートして、また、VPC及びサブネットに対するセキュリティ政策とアカウント情報、環境設定情報、ファイアウォール情報などを設定して登録し、各情報を発生時ことに関連のログ(log)を生成する。以下では、クラウドシステム200で生成するすべての種類のログを通称して「クラウドログ(cloud log)」という。
【0027】
クラウドログにはコンソールを用いて、会員社の各作業者が作業した内容に対するログ、命令語のウィンドウ(CLI:Command Line Interface)を用いて会員社の各作業者が作業した内容に対するログ及びAPI(Application Programming Interface)プログラムを用いて、作業した内容に対するログを含む。そして、各クラウドログには該当のアカウントの識別情報、該当のネットワーク資産の識別情報を含めている。
【0028】
このようなクラウドログは、例えば、VPC及びサブネットに対するセキュリティ対策とアカウント情報、環境設定情報、ファイアウォール情報に対するログ、及びクラウドシステム200で行った作業者の活動ログ(activity log)(以下、「第1活動ログ」という)を含む。第1活動ログは作業者が該当のアカウントを通じて行った肉体的な活動に対する情報として、例えば、クラウドシステムに接続する活動、アカウント権限を変更する活動、ファイアウォールの政策を変更する活動、資料を照会する活動、ポートをオープンする活動、任意のフォルダーに接続する活動、任意のプログラムを実行する活動、コピーする活動、メールを送信する活動、パスワードを変更する活動、情報を変更または削除する活動、新しいプログラムやイメージを設置する活動などである。
【0029】
一方、クラウド資産、つまり、バーチャルホスト、コンテナ及びデータベースは該当の会員社の作業者が入力したイベントに対応するログや自体的に発生するログを生成して、生成したログをセキュリティ危険を予測する予測システム100に提供する。以下では、クラウド資産で発生されるすべての種類のログを通称して「システムログ」という。各クラウドログには該当のアカウントの識別情報、該当のネットワーク資産の識別情報を含めている。
【0030】
システムログでは、各クラウド資産のアカウント情報、設定情報、状態情報、トラフィック情報などと、該当のクラウド資産で行った各アカウントの活動ログ(以下、「第2活動ログ」という)を含む。第2活動ログは第1活動ログと同じく作業者が行った肉体的な活動に対する情報である。
【0031】
図2は本発明の第1実施例によるセキュリティ危険の予測サービスの概念図である。図2を参考にすれば、本発明の第1実施例によるセキュリティ危険の予測サービスは会員社それぞれに提供されるサービスであり、各会員社別に提供されて、各会員社の保護対象を対象にする。保護対象とはセキュリティ脅威に対する保護が必要な対象という意味として、大きくアカウントとクラウド資産の中の少なくとも一つである。
【0032】
アカウントはクラウドコンピューティング環境に接続することができる接続権限であり、大きく会員社のアカウントと少なくとも一つの個別アカウントと区分される。会員社のアカウントは企業または政府機関が初めてサービス会員として登録する際に生成するアカウントであって、個別アカウントは会員社のアカウントで接続した後、生成したアカウントである。クラウド資産はバーチャルホスト、コンテナ及びデータベースを含む。
【0033】
本発明の第1実施例によるセキュリティ危険の予測サービスは一つの保護対象に対するリアルタイムで収集されたシステムログとクラウドログを学習して該当の保護対象に対して初めて発生した活動である新規活動と新規活動が含まれた活動パタンを把握して、新規活動が活動パタンに占める位置によってセキュリティ危険性を予測する。
【0034】
新規活動は該当の保護対象について初めて収集された活動ログである。
【0035】
活動パタンはクラウドシステム200または該当のクラウド資産で該当のアカウントが時間順に発生させた複数個の活動で構成される。例えば、活動パタンは接続する活動、接続の後に特定ファイルを確認する活動、特定ファイルを確認した後内容をコピーする活動、コピーした内容をメールなどで伝送する活動などのように時間的にシークエンス(sequence)に行われた連続的な活動で構成される。
【0036】
このような新規活動及び活動パタンは該当のアカウントに対する膨大な活動ログを分析することで把握され、このような分析のために人工知能のアルゴリズムが活用される。
【0037】
本発明の第1実施例によるセキュリティ危険を予測する予測システムは第1活動ログと第2活動ログの中、セキュリティと関連のない活動ログを除外させた後、セキュリティに関連される活動ログのみAIアルゴリズムで学習するようにすることができる。
【0038】
図2で1次危険の予測結果は現在の時点で近接した以前に行って得た危険の予測結果であり、2次危険の予測結果は現在リアルタイムで受信されたログ情報を用いて得た危険の予測結果である。
【0039】
図3は本発明の第2実施例による、セキュリティ危険の予測サービスの概念図である。図3を参考にすれば、本発明の第2実施例によるセキュリティ危険の予測サービスは脆弱点の診断を通じて把握された脆弱状態が不安状態である保護対象を対象にする。したがって、本発明の実施例によるセキュリティ危険の予測サービスは一つの会員社を基準に該当の会員社が保有した保護対象(個別アカウントまたは/及びクラウド資産)の中の脆弱状態が不安状態である保護対象を対象にする。
【0040】
ここで、脆弱状態が不安状態である保護対象は図3の(a)のように、現在行われた脆弱点の診断を通じて新規でセキュリティ危険の対象に追加された保護対象(以下、「第1予測対象」という)と、(b)のように以前の脆弱点の診断を通じてセキュリティ脅威の対象として把握されて現在までもセキュリティ脅威の対象を維持した既選定のセキュリティ脅威の対象である保護対象(以下、「第2予測対象」という)と区分される。
【0041】
セキュリティ危険の予測サービスは第1予測対象について脆弱状態が安全状態である時点で脆弱状態が不安状態になった時点までの期間である脆弱進行期間の間の活動ログ(第1及び第2活動ログを含む)を用いて1次危険予測を行う。1次危険予測に用いられる活動ログは第1予測対象について新規に発生され、セキュリティに関連される少なくとも一つの活動ログ(以下、「第1新規活動」という)である。
【0042】
第1新規活動は該当の第1予測対象について、初めて収集された活動ログであり、このような第1新規活動は自分自身を含めて2個以上の活動ログで構成された活動パタン(以下、「第1活動パタン」という)で活用されることができる。第1新規活動または第1活動パタンは該当のアカウントに対する膨大な活動ログを分析することよって把握されて、このような分析のために人工知能のアルゴリズムが活用される。
【0043】
その後、セキュリティ危険の予測サービスは第1及び第2予測対象について、リアルタイムで受信される活動ログ(第1及び第2活動ログを含む)をAIアルゴリズムを通じて学習して、新規活動を把握して新規活動を用いて2次危険予測を行う。2次危険予測に用いられる新規活動を第2新規活動という。第2新規活動は第1新規活動と同じように、該当の第1予測対象について初めて収集された活動ログである。そして、第2新規活動を含めて2個以上の活動ログで構成された活動パタンを「第2活動パタン」という。2次危険予測の結果は第1新規活動と第2新規活動の間の関連性を基盤に把握された結果を1次危険予測の結果に反映して算出される。
【0044】
本発明の第2実施例によるセキュリティ危険の予測サービスは第1活動ログと第2活動ログの中、セキュリティに関連のない活動ログを除外させた後、セキュリティに関連された活動ログのみAIアルゴリズムで学習するようにすることができる。
【0045】
図4を参考にして、活動パタンについてより詳しく説明する。図4は本発明の実施例による活動パタンを説明するための図面である。活動パタンは関連性のある複数個の事前準備活動(A1、A2、B)を含む。図4では、事前準備活動が2個であることで図示しているが、3個または4個または5個以上であることができる。事前準備活動(A1、A2、B)は最終(つまり、3次)の事前準備活動、つまり、セキュリティを脅威する悪意的な活動Bと悪意的な活動をする前に行われる1次事前準備活動A1と2次事前準備活動A3で区分される。
【0046】
例えば、クラウドシステム200または該当のクラウド資産に接続する活動、接続の後のパスワードファイルを確認する活動、パスワードファイルを確認した後の主要内容をコピーする活動、コピーした主要内容をメールなどで伝送する活動で構成された活動パタンがあると仮定する。
【0047】
この場合に、悪意的な活動Bはコピーした主要内容をメールなどで伝送する活動に該当して、事前準備活動(A1、A2)は接続の後、パスワードファイルを確認する活動及びパスワードファイルを確認した後主要内容をコピーする活動に該当する。ここで、パスワードファイルを確認した後主要内容をコピーする活動は時間的にパスワードファイルを確認する活動より先行することができなく、パスワードファイルを確認する活動はパスワードファイルの主要内容をコピーする活動のため優先的に行わなければならない活動である。
【0048】
したがって、パスワードファイルを確認する活動は2次事前準備活動のために先行される1次事前準備活動A1であり、主要内容をコピーする活動は悪意的な活動Bのために先行される2次事前準備活動A2である。このような1次事前準備活動A1、2次事前準備活動A2及び悪意的な活動Bはお互いに関連性がある。
【0049】
また、第1アカウントでその間行っていないパスワードファイルを確認する新規活動(1次事前準備活動(A1))を行った場合、セキュリティ危険の確率が発生したと判断されて、1次事前準備活動A1が発生した後、第1アカウントでその間行っていなかったパスワードファイルの主要内容をコピーする新規活動(2次事前準備活動(A2))を行った場合、1次事前準備活動(A1)の時より、セキュリティ危険の確率がさらに高くなったと判断されることは当然である。そして、第1アカウントでその間行っていなかったコピーした主要内容をメールなどで伝送する新規活動(悪意的な活動(B))を行った場合、2次事前準備活動A2の時よりセキュリティ危険の確率がさらに高くなった判断されることが当然である。
【0050】
したがって、一つの活動パタンで事前準備活動の次数が低いほどセキュリティ脅威が低く、事前準備活動の次数が高いほどセキュリティ脅威が高い。このような事前準備活動の次数は同一なパタンで異なる事前準備活動の関連性に該当して、危険度の点数の算出の際に活用される。
【0051】
図5は本発明の実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システムでデータを収集する方法を示した図面である。図5を参考にすれば、本発明の実施例によるセキュリティ危険を予測する予測システム100はクラウドシステム200とAPI(Application Programming Interface)通信を行ってクラウドシステム200からクラウドログを受信して、バーチャルホスト21とコンテナ22及びデータベース23に設置されたエージェント400からシステムログを収集する。
【0052】
図6は本発明の第1実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険の予測システムのブロック構成図である。図6を参考にすれば、本発明の実施例によるセキュリティ危険の予測システム100は情報収集部101、情報分類部102、収集情報の保存部103、危険性の把握部109、予測点数の算出部110及びお知らせ部111を含む。
【0053】
情報収集部101はクラウドシステム200とAPI通信を行ってクラウドログを収集して、各クラウド資産のエージェント400からシステムログを収集した。情報分類部102は情報収集部101で収集したクラウドログとシステムログを会員社別及び保護対象別に分類して収集情報の保存部103に保存する。情報分類部102に収集されたクラウドログとシステムログがA会社、B会社及びC会社に関連されたログとすると、情報分類部102によって分類された情報はA会社、B会社及びC会社に区分して分類されて、A会社に関連されて分類された情報は再びA会社が保有した各個別のアカウント別に分類されたり、A会社が保有した各クラウド資産別に分類される。
【0054】
収集情報の保存部103は情報分類部102により分類された情報を保存する。
【0055】
活動学習部108は人工知能のアルゴリズムを含めて、情報収集部101でリアルタイムで収集された保護対象の第1及び第2活動ログを学習して、新規活動が発生したのかを把握して、新規活動が発生されると新規活動が含まれた活動パタンを把握する。
【0056】
もし、接続する活動、接続した後に特定ファイルを確認する活動、特定ファイルを確認した後に内容をコピーする活動、コピーした内容をメールなどで伝送する活動が第1バーチャルホストに対する第1アカウントの新しい活動パタンであり、新しい活動パタンで内容をコピーする活動及びコピーした内容をメールなどで伝送する活動が新規活動であれば、活動学習部108は第1バーチャルホストの識別情報、第1アカウントの識別情報及び新しい活動パタン(または新規活動)を危険性の把握部109に提供する。
【0057】
危険性の把握部109は活動学習部108から保護対象別新規活動と活動パタンを受信すると新規活動が活動パタンで事前準備活動の何次であるかを把握して予測点数の算出部110に提供する。
【0058】
予測点数の算出部110は危険性の把握部109から受信された保護対象の新規活動に対する事前準備活動の次数を把握して把握した次数に対して、既設定された危険度の点数を把握して、各新規活動に対する危険度の点数を合算して該当の保護対象に対する危険度の点数を算出する。この際、算出された危険との点数が該当の保護対象について初めて算出された危険度の点数であれば、1次危険度の点数になる。一方、算出された危険度の点数の以前に該当の保護対象について算出された危険度の点数があれば、現在算出された危険度の点数は2次危険度の点数になる。予測点数の算出部110は現在算出した危険度の点数が2次危険度の点数であれば、1次危険度の点数と合算して最終の危険度の点数を算出する。
【0059】
お知らせ部111は予測点数の算出部110で算出した結果を保護対象別の危険度の点数による危険状態を表示したり、算出した結果を該当の会員社の担当者にお知らせする。
【0060】
一方、本発明の第1実施例によるセキュリティ危険の予測システム100は通信装置とデータプロセッサ及びメモリで構成されて、通信装置は情報収集部101及びお知らせ部111を含めて、データプロセッサは情報分類部102、活動学習部108、危険性の把握部109及び予測点数の算出部110を含めて、特に、活動学習部108は人工知能ソフトウェアである。メモリは収集情報の保存部103及び診断結果の保存部105を含む。
【0061】
上記の各構成(101乃至111)はそれぞれの機能を行うソフトウェアで構成されたり、それぞれの機能を行うソフトウェアが搭載されたハードウェアで構成されることができる。
【0062】
図7は本発明の実施例によるAI基盤のセキュリティ危険の予測方法に対するフローチャートである。図7を参考にすれば、本発明の第1実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険を予測する予測システム(以下、「システム」という)100は各保護対象に対するクラウドログとシステムログをリアルタイムに収集して保存する(S701)。
【0063】
システム100は各会員社別にセキュリティ危険の予測サービスを提供するのに、理解を助けるため、一つの会員社を対象にすると、まず該当の会員社の各保護対象に対するすべての活動ログをAIアルゴリズムを通じて学習するようにする(S702)。
【0064】
システム100はAIアルゴリズムを通じた学習を通じて、保護対象別に該当の保護対象に対する活動の中、以前になかった新規活動を把握して、把握した新規活動がセキュリティに関連された新規活動であれば、該当の新規活動が含まれた第1活動パタンを把握する(S703)。
【0065】
システム100は活動パタンで該当の新規活動に対する事前準備活動の次数を把握する(S704)。その後、システム100は新規活動に対する事前準備活動の次数に対応する危険度の点数を把握して、把握した各新規活動の危険度の点数を合算して各保護対象の危険度の点数を算出する(S705)。
【0066】
システム100は算出した危険度の点数が2次危険度の点数であれば(S706)、該当の保護対象の1次危険度の点数と合算して最終の危険度の点数を算出して(S707)、算出した該当の保護対象の最終の危険度の点数を該当の会員社の担当者にお知らせする(S708)。
【0067】
もちろん、システム100は算出した危険度の点数が1次危険度の点数であれば、1次危険度の点数を最終の危険度の点数にして該当の会員社の担当者にお知らせする。
【0068】
図8は本発明の第2実施例によるクラウド環境で保護対象に対するAI基盤のセキュリティ危険の予測システムのブロック構成図である。図8を参考にすれば、本発明の実施例によるセキュリティ危険の予測システム100a(以下、「システム100a」という)は情報収集部101、情報分類部102、収集情報の保存部103、脆弱点の診断部104、診断結果の保存部105、対象選定部106、活動ログの抽出部107、活動学習部108、危険性の把握部109、予測点数の算出部110及びお知らせ部111を含む。
【0069】
情報収集部101はクラウドシステム200とAPI通信を行ってクラウドログを収集して、各クラウド資産のエージェント400からシステムログを収集する。情報分類部102は情報収集部101で収集したクラウドログとシステムログを会員社別及び保護対象別に分類して収集情報の保存部103に保存する。情報分類部102で収集されたクラウドログとシステムログがA会社、B会社及びC会社に関連されたログだとすれば、情報分類部102により分類された情報はA会社、B会社及びC会社に区分して分類されて、A会社に関連されて分類された情報は再びA会社が保有した各個別のアカウント別に分類されたり、A会社が保有した各クラウド資産別に分類される。
【0070】
収集情報の保存部103は情報分類部102により分類された情報を保存する。
【0071】
脆弱点の診断部104は収集情報の保存部103に保存されたログ情報の中、脆弱点の診断用の情報はログ情報の中の脆弱点の診断に用いられる情報である。例えば、脆弱点の診断部104はA会社の保護対象について脆弱点の診断用の情報を用いて、各脆弱点の診断項目(点検項目)に対する評価を行って各脆弱点の診断項目(点検項目)に対する評価の結果を点数に算出して、算出した点数を平均して脆弱点の診断結果、すなわち、脆弱点の診断点数を算出する。
【0072】
この際、脆弱点の診断情報は、図11に図示された脆弱点の診断項目(点検項目)に対応される情報であり、脆弱点の診断項目(点検項目)は国内規定及び国際規定により、既に定められている。脆弱点の診断部104で行う脆弱点の診断方法を拘置された保護対象に対する脆弱点の診断方法の中の少なくとも一つである。脆弱点の診断点数はセキュリティが脆弱であるほど点数が高く算出されるようにすることができ、セキュリティが脆弱するほど点数が低く算出されるようにすることができる。以下の脆弱点の診断点数はセキュリティが脆弱するほど点数が低く算出される場合に算出されたものとする。
【0073】
診断結果の保存部105は脆弱点の診断部104で周期的に行った各会員社別の保護対象の診断結果を保存する。したがって、各保護対象の診断結果は脆弱点の診断を行った時間別に累積されて診断結果の保存部105に保存されている。
【0074】
対象選定部106は以前に行った脆弱点の診断結果を基盤に各保護対象に対する脆弱状態を把握して管理しており、現在行われた各保護対象の診断結果を用いて、各保護対象に対する現在の脆弱状態を把握して、把握した脆弱状態を既保存された該当の保護対象の脆弱状態に反映する。この際、対象選定部106は現在の脆弱状態が安全状態または憂慮状態から不安状態に変わった保護対象をセキュリティ危険対象に新規追加して第1予測対象に選定する。そして、対象選定部106は現在の脆弱状態が不安状態から憂慮状態または安全状態に変わった保護対象をセキュリティ危険の対象から除外させる。すなわち、対象選定部106は現在脆弱状態が不安状態から憂慮状態または安全状態に変わった保護対象を第2予測対象から除外させる。
【0075】
保護対象の脆弱状態は一例に、最も安定的な状態である安全状態と、脆弱項目が第1個数以下である憂慮状態及び脆弱項目が第2個数以上である不安状態に区分されることができる。もちろん、保護対象の脆弱状態は設計者ごとに異なるように区分することができる。
【0076】
脆弱状態を把握する過程を説明すると、対象選定部106は診断結果の保存部105に保存された最も最近の診断結果(すなわち、脆弱点の診断点数)を設定された第1基準点数と比べて、第1基準点数より低い脆弱点の診断点数を有する保護対象、すなわち、セキュリティに対する脆弱性の高い保護対象をセキュリティ危険の対象に選定して、該当のクラウド資産の脆弱状態を不安状態に設定する。そして、対象選定部106は診断結果の保存部105に保存された最も最近の各保護対象の脆弱点の診断点数を設定された第2基準点数と比べて第2基準点数以上であれば、該当の保護対象の脆弱状態を安全状態に設定する。上記で、第2基準点数は第1基準点数より高く設定される。
【0077】
保護対象の脆弱状態が不安状態で安全状態に変更されたとは、管理者により措置が行われたか、または保護対象の脆弱状態を不安状態にしたアカウントが悪意を有していないので不安状態にした要素(element)を解消したものと判断される。もし、保護対象の脆弱状態を不安状態にしたアカウントが悪意を有する場合であれば、管理者の措置がない場合に続けて不安状態に維持されるだろう。
【0078】
活動ログの抽出部107は対象選定部106により選定された第1予測対象に対して脆弱状態が安全状態から不安状態に変更された脆弱進行期間を把握して、脆弱進行期間の間の活動ログ、すなわち、第1及び第2活動ログを抽出して、抽出した第1及び第2活動ログを活動学習部108に提供する。
【0079】
活動学習部108は人工知能アルゴリズムを含み、活動ログの抽出部107から受信された第1予測対象の第1及び第2活動ログを学習して、第1新規活動が発生したかを把握し、第1新規活動が発生されれば、第1新規活動が含まれた第1活動パタンを把握する。また、活動学習部108は情報収集部101にリアルタイムで収集された第1及び第2予測対象のそれぞれについて第1及び第2活動ログを学習して第2新規活動が発生したかを把握して、第2新規活動が発生されれば第2新規活動が含まれた第2活動パタンを把握する。活動学習部108は第1予測対象に対する第1新規活動及び第1活動パタンを危険性の把握部109に提供して、第1及び第2予測対象に対する第2新規活動及び第2活動パタンを危険性の把握部109に提供する。
【0080】
もし、接続する活動、接続の後に特定ファイルを確認する活動、特定ファイルを確認した後に内容をコピーする活動、コピーした内容をメールなどで伝送する活動が第1バーチャルホストに対する第1アカウントの新しい活動パタンであり、新しい活動パタンで内容をコピーする活動及びコピーした内容をメールなどで伝送する活動が新規活動であれば、活動学習部108は第1バーチャルホストの識別情報、第1アカウントの識別情報及び新しい活動パタン(または新規活動)を危険性の把握部109に提供する。
【0081】
危険性の把握部109は活動学習部108から第1予測対象の第1新規活動と第1活動パタンを受信すれば、第1新規活動が第1活動パタンで何次の事前準備活動であるかを把握して予測点数の算出部110に提供して、活動学習部108から第1及び第2予測対象のそれぞれの第2新規活動及び第2活動パタンを受信すれば第2新規活動が第2活動パタンで何次の事前準備活動であるかを把握して予測点数の算出部110に提供する。
【0082】
予測点数の算出部110は危険性の把握部109から受信された第1予測対象の第1新規活動に対する事前準備活動の次数を把握して把握した次数に対して既設定された危険度の点数を把握して、各第1新規活動に対する危険度の点数を合算して第1予測対象に対する1次危険度の点数を算出する。そして、予測点数の算出部110は危険性の把握部109から受信された第1予測対象の第2新規活動と第2予測対象の第2新規活動を用いて第1予測対象の2次危険度の点数を算出して、第2予測対象の2次危険度の点数を算出する。
【0083】
ここで、第2予測対象の2次危険度の点数の算出方法と第2予測対象の2次危険度の点数の算出方法は同一である。一例で、第1予測対象の2次危険度の点数の算出方法を説明すれば、予測点数の算出部110は第1予測対象の第2新規活動に対する事前準備活動の次数に対応して、既設定された危険度の点数を把握して、把握した第2新規活動のそれぞれに対応した危険度の点数を合算して2次危険度の点数を算出する。
【0084】
そして、予測点数の算出部110は2次危険度の点数を該当の第1予測対象の1次危険度の点数と合算して最終の危険度の点数を算出する。
【0085】
お知らせ部111は予測点数の算出部110で算出した結果を保護対象別の危険度の点数による危険状態を表示したり、算出した結果を該当の会員社の担当者にお知らせする。
【0086】
一方、本発明の第2実施例によるセキュリティ危険の予測システム100aは通信装置とデータプロセッサ及びメモリで構成され、通信装置は情報収集部101及びお知らせ部111を含み、データプロセッサは情報分類部102、脆弱点の診断部104、対象選定部106、活動ログの抽出部107、活動学習部108、危険性の把握部109及び予測点数の算出部110を含めて、特に活動学習部108は人工知能ソフトウェアである。メモリは収集情報の保存部103及び診断結果の保存部105を含む。
【0087】
上記の各構成(101ないし111)はそれぞれの機能を行うソフトウェアで構成されたりそれぞれの機能を行うソフトウェアが搭載されたハードウェアで構成されることができる。
【0088】
図9は本発明の第2実施例によるAI基盤のセキュリティ危険の予測方法についてのフローチャートである。図6を参考にすれば、本発明のシステム100aは会員社別で保護対象についてのクラウドログ及びシステムログを用いて脆弱点の診断を行って、脆弱点の診断の結果で脆弱状態が安定状態または憂慮状態から不安状態に変わった保護対象を第1予測対象に選定する(S901)。
【0089】
例えば、システム100はA会社の各保護対象について、S901の過程を行って、次にB会社の各保護対象についてS901の過程を行い、その次にC会社、D会社の順にS901の過程を行う。
【0090】
上記で第1予測対象は一つ以上の保護対象であることができるが、例えば、三つの個別アカウントであったり、五つの個人アカウントまたは二つのバーチャルホスト、または二つのバーチャルホストと一つのコンテナなどであることができる。
【0091】
本発明のシステム100aは第1予測対象が複数個である場合にそれぞれの第1予測対象別に、下記のS902の過程乃至S910の過程を行う。例えば、システム100aは第1予測対象が三つである場合に、一つ目の第1予測対象について下記のS902の過程乃至S910の過程を行って、次に二つ目の第1予測対象について下記のS902の過程乃至S910の過程をお混って、最後に三つ目の第1予測対象について下記のS902の過程乃至S910の過程を行う。
【0092】
以下では、理解を助けるため、第1予測対象が一つであることにして説明する。
【0093】
システム100aは第1予測対象について脆弱進行期間を把握して(S902)、脆弱進行期間の中の第1予測対象に関連される活動ログを抽出し、抽出した活動ログをAIアルゴリズムを通じて学習することにする(S903)。
【0094】
システム100aはAIアルゴリズムを通じた学習を通じて、第1予測対象に対する活動の中の以前になかった新規活動を把握し、把握した新規活動がセキュリティに関連された第1新規活動であるかを判断して、第1新規活動が含まれた第1活動パタンを把握する(S904)。
【0095】
そして、システム100aは第1活動パタンで第1新規活動に対する事前準備活動の次数を把握する(S905)。ここで、第1新規活動を含む第1活動パタンは既設定されている情報であり、以下で記載する第2活動パタンも、また既設定されている情報である。
【0096】
システム100aは各第1新規活動に対する事前準備活動の次数に対応する危険度の点数を把握して、把握した各第1新規活動の危険度の点数を合算して第1予測対象の1次危険度の点数を算出して、算出した第1予測対象の1次危険度の点数を該当の会員社の担当者にお知らせする(S906)。
【0097】
システム100aは第1予測対象と第2予測対象のそれぞれに対してリアルタイムで受信される第1及び第2活動ログをAIアルゴリズムに入力して学習をすることにする(S907)。
【0098】
システム100aはAIアルゴリズムを通じた学習を通じて以前にない新規活動を把握して、把握した新規活動がセキュリティに関連された第2新規活動であるかを判断して、第2新規活動を含む第2活動パタンを把握する(S908)。
【0099】
システム100aは第2活動パタンで第2新規活動に対する事前準備活動の次数を把握して、各第2新規活動に対する事前準備活動の次数に対応する危険度の点数を把握し、把握した各第2新規活動の危険度の点数を合算して第1予測対象の2次危険度の点数と第2予測対象の2次危険度の点数を算出する(S909)。
【0100】
その後、システム100aは第1予測対象の2次危険度の次数を第1予測対象の1次危険度の点数と合算して第1予測対象の最終の危険度の点数を算出し、第2予測対象の2次危険度の次数を第1予測対象の1次危険度の点数と合算して第2予測対象の最終の危険度の点数を算出した後、各最終の危険度の点数を該当の会員社の担当者にお知らせする(S910)。
【0101】
図10は本発明の実施例による2次危険度の点数の算出方法についてのフローチャートであり、図9を参考に説明した2次危険度の点数の算出方法とは異なる例である。そして、図10では第1及び第2予測対象を基準にして説明する。
【0102】
図10を参考にすれば、システム100aは複数の第2予測対象の中のクラウド資産である第1バーチャルホストを対象に2次危険度の点数を算出する。
【0103】
これのため、システム100aは第1バーチャルホストに対してリアルタイムで受信される第1及び第2活動ログをAIアルゴリズムに入力して学習をするようにして(S1001)、一つ目の第2新規活動を把握する(S1002)。
【0104】
システム100aは一つ目の第2新規活動を把握すれば、一つ目の第2新規活動を含む第2活動パタンを把握し(S1003)、把握した第2活動パタンが第1バーチャルホストについて、初めて把握された活動パタン、すなわち、新規活動パタンであるかを判断する(S1004)。
【0105】
システム100aは第2活動パタンが新規活動パタンではない、以前に把握した活動パタンであれば、一つ目の第2新規活動が以前に把握した活動パタンで次数が高くなった事前準備活動だと判断する。すなわち、システム100aは一つ目の第2新規活動が該当の活動パタンの悪意的な活動Bにさらに近い事前準備活動だと判断する。これにより、システム100aは第2活動パタンに対する危険フラグ(flag)を設定する(S1005)。
【0106】
ここで、危険フラグは第2活動パタンで一つ目の第2新規活動の事前準備活動の次数により差等されて表示される。例えば、悪意的な活動Bの直前の段階であれば、危険をお知らせする危険フラグを表示して、悪意的な活動Bから遠いほど危険性が低いことを知らせする危険フラグを表示する。
【0107】
危険フラグを設定する動作は危険性の把握部109で行うことができる。
【0108】
一方、システム100aは第2活動パタンが新規活動パタンであれば、一つ目の第2新規活動が以前に監視した事前準備活動と関連性がないと判断して、該当の一つ目の第2新規活動に対する事前準備活動の次数を把握する(S1006)。
【0109】
もちろん、システム100aは危険フラグを設定した後、第2活動パタンで一つ目の第2新規活動に対する事前準備活動の次数を把握し(S1006)、一つ目の第2新規活動に対する事前準備活動の次数に対応する危険度の点数を把握する(S1007)。
【0110】
システム100aは次の第2新規活動が把握されるかを判断し(S1008)、次の第2新規活動が把握されれば(S1009)、次の第2新規活動に対してS1003の過程乃至S1007の過程を行う。
【0111】
そして、システム100aはS1003の過程乃至S1007の過程を行った第2新規活動が最後の第2新規活動だと判断すれば、各新規活動の危険度の点数を合算して2じ危険度の点数を算出する(S1010)。
【0112】
本発明の各実施例に開示された技術的な特徴は該当の実施例のみに限定されるものではなく、お互いに両立不可能ではない以上、各実施例に開示された技術的な特徴はお互いに異なる実施例に併合され適用されることができる。
【0113】
したがって、各実施例ではそれぞれの技術的な特徴を中心に説明するが、各技術的な特徴がお互いに両立不可能ではない以上、お互い併合され適用されることができる。
【0114】
本発明は上述した実施例及び添付された図面に限定されるものではなく、本発明が属する分野で通常の知識を有するものの観点で様々な修正及び変更が可能であろう。したがって、本発明の範囲は本明細書の請求範囲だけでなく、この請求範囲と均等なものにより定められるべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
