特許 7595915 情報分析装置及び情報分析方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-11-29

(45)【発行日】2024-12-09

(54)【発明の名称】情報分析装置及び情報分析方法

(51)【国際特許分類】

   G06F 21/57 20130101AFI20241202BHJP

   G06Q 50/10 20120101ALI20241202BHJP

   G06F 16/21 20190101ALI20241202BHJP

   G06F 16/33 20190101ALI20241202BHJP

【ＦＩ】

G06F21/57 370

G06Q50/10

G06F16/21

G06F16/33

【請求項の数】 5

(21)【出願番号】P 2020172800

(22)【出願日】2020-10-13

(65)【公開番号】P2022064203

(43)【公開日】2022-04-25

【審査請求日】2023-09-28

(73)【特許権者】

【識別番号】301022471

【氏名又は名称】国立研究開発法人情報通信研究機構

(74)【代理人】

【識別番号】100120868

【弁理士】

【氏名又は名称】安彦 元

(72)【発明者】

【氏名】津田 侑

(72)【発明者】

【氏名】井上 大介

(72)【発明者】

【氏名】鈴木 宏栄

(72)【発明者】

【氏名】井野 毅也

(72)【発明者】

【氏名】高木 彌一郎

(72)【発明者】

【氏名】田中 秀一

(72)【発明者】

【氏名】金谷 延幸

(72)【発明者】

【氏名】笠間 貴弘

【審査官】▲柳▼谷 侑

(56)【参考文献】

【文献】国際公開第２０１８／１３９４５８（ＷＯ，Ａ１）

【文献】国際公開第２０２０／０５０３５５（ＷＯ，Ａ１）

【文献】特開２０２０－０２１３０９（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／１２ － ２１／１６

Ｇ０６Ｆ ２１／５０ － ２１／５７

Ｇ０６Ｑ ５０／１０

Ｇ０６Ｆ １６／２１

Ｇ０６Ｆ １６／３３

(57)【特許請求の範囲】

【請求項1】

脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、前記セキュリティに関しての脅威の利用例の情報である利用例情報と、を含む前記セキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置であって、
前記セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、
前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、
前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する横断分析部と、
前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、
を備える、情報分析装置。

【請求項2】

前記検索キーは、１又は複数の前記索引情報及び前記語句情報の少なくとも１つから構成され並び順に処理され、前記検索キーには具体値と総称値があり、前記検索キーは具体値の場合、複数種類の前記索引情報及び前記語句情報の間を紐づける、
請求項１に記載の情報分析装置。

【請求項3】

前記分析結果情報は、階層構造を有しており、最上位階層は、前記索引情報によって紐づけられ、最下位階層は前記語句情報によって紐づけられる、
請求項１に記載の情報分析装置。

【請求項4】

前記サブスクライバー送受信部は、前記使用者端末から送信される分析結果情報取得要求に含まれる要求された前記索引情報に関係する情報を要求された順序で送信し、前記使用者端末に前記自然言語による前記語句を表示するための情報が送信される、
請求項１に記載の情報分析装置。

【請求項5】

脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、前記セキュリティに関しての脅威の利用例の情報である利用例情報と、を含む前記セキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置によって実行される情報分析方法であって、
前記セキュリティ関連情報を受信する第１のステップと、
前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第２のステップと、
前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する第３のステップと、
前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第４のステップと、
を備える、情報分析方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明の実施の形態は、情報分析装置及び情報分析方法に関する。

【背景技術】

【0002】

例えば非特許文献１には、情報源からサイバーセキュリティ関連の情報の収集し、収集された情報をデータベースに蓄積し、蓄積された情報を分析するような一連の処理を一貫して行うようなモノリシックな設計による技術が記載されている。分析とは例えば、ＩｏＣ（Indicator of Compromise）間のつながりや複数のＩｏＣからなるクラスタから意味を見出すことや、自然言語で記載されたサイバーセキュリティ関連の記事からＩｏＣ間の関連性をモデル化することを指す。

【先行技術文献】

【非特許文献】

【0003】

【文献】伊藤大貫，永井達也，野村健太，近藤秀紀，神薗雅紀，白石善明，古本啓祐，瀧田槇，毛利公美，高野秦洋，森井昌克．スレットインテリジェンスのためのダイヤモンドモデルに基づく脅威情報分析システム．電子情報通信学会論文誌，Vol．J101-D，No．10，pp．1427-1437，2018

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら非特許文献１に記載されたような従来の手法は、分析の結果に自然言語が紐づいておらず、使用者にとって分かりにくいという課題がある。また非特許文献１に記載されたような従来の手法は、サイバーセキュリティ関連の情報を蓄積したデータベースの検索速度については考慮されておらず、データベースに蓄積された情報が肥大化した際には検索速度が低下しやすくなる可能性があるという課題がある。さらに非特許文献１に記載されたような従来の手法は、モノリシックな設計を用いているため、拡張性や柔軟性が確保されにくく、処理を改良する場合にコストが高くなりやすいという課題がある。

【0005】

本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することを目的とする。

【課題を解決するための手段】

【0006】

脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置であって、セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する横断分析部と、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、を備える、情報分析装置を提供する。

【0007】

脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置によって実行される情報分析方法であって、セキュリティ関連情報を受信する第１のステップと、脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第２のステップと、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する第３のステップと、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第４のステップと、を備える、情報分析方法を提供する。

【発明の効果】

【0008】

本発明の実施の形態の一態様によれば使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を実現できる。

【図面の簡単な説明】

【0009】

【図1】図１は、本実施の形態による情報分析装置を含む情報分析システムの構成を示すブロック図である。

【図2】図２は、本実施の形態による情報分析装置に記憶されるキーバリューデータベースの概要を示す図である。

【図3】図３は、本実施の形態による情報分析装置に記憶されるキーバリューデータベースのデータ構造の概念を示す図である。

【図4】図４は、本実施の形態による情報分析装置によって使用者端末に表示される画面を示す。

【図5】図５は、情報分析処理の処理手順を示すフローチャートである。

【発明を実施するための形態】

【0010】

以下図面を用いて、本発明の実施の形態の一態様を詳述する。

【0011】

図１は、本実施の形態による情報分析装置１を含む情報分析システムの構成を示すブロック図である。情報分析システムは、情報分析装置１と、脅威観測装置２と、利用例列挙装置３と、使用者端末４とを備える。

【0012】

図１に示す情報分析システムにおいて、情報分析装置１は、脅威観測装置２から送信されるセキュリティに関しての脅威を観測した情報である脅威情報（以下、これをＩｏＣと呼んでもよい）と、利用例列挙装置３から送信されるセキュリティに関しての脅威の利用例の情報である利用例情報と、を受信する。

【0013】

脅威情報と、利用例情報とを含むセキュリティに関する情報をセキュリティ関連情報と呼んでもよいものとする。情報分析装置１は、セキュリティ関連情報を受信すると、セキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成して、使用者端末４へと送信する。

【0014】

脅威観測装置２は、１又は複数であって、例えば正規の通信を行わずに不正アクセスを受ける装置であるハニーポット装置やダークネットと呼ばれる未使用のＩＰアドレスを観測する装置であるダークネット観測装置などとする。

【0015】

例えばハニーポット装置は、ＩＰアドレスやファイルのハッシュ値を含む脅威情報を情報分析装置１に送信する。また例えばダークネット観測装置は、ＩＰアドレスやドメイン名を含む脅威情報を情報分析装置１に送信する。

【0016】

利用例列挙装置３は、１又は複数であって、例えばＭＩＴＲＥが戦術や手法にまとめられ、少数のマトリックスだけでなくＳＴＩＸ（Structured Threat Informtion eXpression）／ＴＡＸＩＩ（Trusted Automated eXchange of Indicator Information）でも表現された既知の攻撃者の行動の構造化されたリストであるＡＴＴ＆ＣＫ（Adversarial Tactics, Techniques, and Common Knowledge）を提供する装置であるＡＴＴ＆ＣＫ提供装置が挙げられる。

【0017】

また利用例列挙装置３として、記事の内容をＲＳＳフィードから取得し、取得した記事の内容から自然言語によって記載された語句を抽出して提供する装置である記事抽出語句提供装置が挙げられる。

【0018】

なお利用例情報は、脅威情報を含んでいるものとし、例えばＡＴＴ＆ＣＫ提供装置や記事抽出語句提供装置が情報分析装置１に送信する利用例情報には、ＩＰアドレスやドメイン名やファイルのハッシュ値が含まれているものとする。

【0019】

使用者端末４は、１又は複数であって、情報分析装置１を使用してセキュリティ関連情報を分析する使用者が使用する端末であって、パーソナルコンピュータやタブレット端末やスマートフォンなどとする。なお使用者端末４は、脅威情報を集約したり集積したりする装置である脅威情報プラットフォーム提供装置や、セキュリティ関連情報を提供したりプログラム内で発生した動作や出来事であるイベントを管理したりするＳＩＥＭ（Security Information and Event Management）装置であってもよい。

【0020】

情報分析装置１は、パブリッシャーメッセージ受信部５と、前処理部６と、横断分析部７と、データベース記憶部８と、サブスクライバー送受信部９と、を備える。パブリッシャーメッセージ受信部５は、情報分析装置１にパブリッシャーである脅威観測装置２や利用例列挙装置３からのセキュリティ関連情報を受信する。セキュリティ関連情報が発行される都度ごとにパブリッシャーメッセージ受信部５はセキュリティ関連情報を受信する。

【0021】

前処理部６は、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成する索引情報生成部１０と、索引情報と紐づけられた脅威情報である実体情報をデータベース記憶部８に投入する実体情報投入部１１と、を備える。

【0022】

横断分析部７は、関連抽出部１２と、意味付け部１３と、を備える。関連抽出部１２は、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する。意味付け部１３は、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する。

【0023】

データベース記憶部８は、検索キーに値が紐づいたデータベースであるキーバリュー型データベースのキーバリューデータベースＤＢ１を記憶する。キーバリューデータベースＤＢ１においては、検索キーによって値が検索される。

【0024】

サブスクライバー送受信部９は、サブスクライバーである使用者端末４に分析結果情報を送信する。なおサブスクライバー送受信部９は、使用者端末４から分析結果取得要求に含まれる要求された索引情報に関係する情報を要求された順序で送信してもよい。例えばパブリッシャーメッセージ受信部５、前処理部６、横断分析部７、データベース記憶部８及びサブスクライバー送受信部９は集積回路とする。

【0025】

次に図２を用いてキーバリューデータベースＤＢ１の概要について説明する。図２は、本実施の形態による情報分析装置１に記憶されるキーバリューデータベースＤＢ１の概要を示す図である。キーバリューデータベースＤＢ１は、キーバリューデータベースＤＢ１１～ＤＢ１８を含む。

【0026】

図２に示すように、検索キーは、１又は複数の索引情報及び語句情報の少なくとも１つから構成され並び順に処理される。また図２に示すように検索キーには具体値と総称値があり、検索キーは具体値の場合、複数種類の索引情報及び語句情報の間を紐づける。なお検索キーが総称値のみからなる場合、検索キーは目次の役割をするものとする。

【0027】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ－ｉｎｄｅｘ」の場合のキーバリューデータベースＤＢ１１においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、「ｉｐ－ｉｎｄｅｘ」といった総称値のみからなる。総称値のみからなる検索キーと結びつく値は目次の役割をする。なお検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ－ｉｎｄｅｘ」の場合、値は「２０３．０．１１３．１」などといったＩＰアドレスとなる。

【0028】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１」の場合のキーバリューデータベースＤＢ１２においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、ＩＰアドレスを示す「ｉｐ」といった総称値と「２０３．０．１１３．１」といった具体値からなる。

【0029】

検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１」の場合、値は「ｔｉｍｅｓｔａｍｐ：１５９３５６９２３，ｐｕｂｌｉｓｈｅｒ＿ｉｄ：３００，ｄｓｔ＿ｉｐ："２０３．０．１１３．１"，ｄｓｔ＿ｐｏｒｔ：４４３，…，ｃｏｎｔｅｎｔ："ＳｕｓｐｉｃｉｏｕｓＦｉｌｅＤｏｗｎｌｏａｄ"」といった実体情報となる。ＩＰアドレスの具体値である「２０３．０．１１３．１」が実体情報に結び付けられた索引情報となる。

【0030】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１：ｄｏｍａｉｎ」の場合のキーバリューデータベースＤＢ１３においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、ＩＰアドレスを示す「ｉｐ」、ドメイン名を示す「ｄｏｍａｉｎ」といった総称値とＩＰアドレスの具体値である「２０３．０．１１３．１」からなる。このため、ＩＰアドレスの具体値である「２０３．０．１１３．１」が索引情報であるＩＰアドレスと索引情報であるドメイン名との間を紐づける。

【0031】

検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１：ｄｏｍａｉｎ」の場合、値は「ｗｗｗ．ｅｘａｍｐｌｅ．ｎｅｔ」といったドメイン名の具体値となる。ＩＰアドレスの具体値である「２０３．０．１１３．１」がドメイン名の具体値に結び付けられた索引情報となる。

【0032】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１：ｆｉｌｅ」の場合のキーバリューデータベースＤＢ１４においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、ＩＰアドレスを示す「ｉｐ」、ファイルのハッシュ値を示す「ｆｉｌｅ」といった総称値とＩＰアドレスの具体値である「２０３．０．１１３．１」からなる。このため、ＩＰアドレスの具体値である「２０３．０．１１３．１」が索引情報であるＩＰアドレスと索引情報であるファイルのハッシュ値との間を紐づける。

【0033】

検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１：ｆｉｌｅ」の場合、値は「７３３３６ａ８ｅ９ｅａ４３４５０８４ｃ９０３３３６ｂｅ４１２６４」といったファイルのハッシュ値の具体値となる。ＩＰアドレスの具体値である「２０３．０．１１３．１」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。

【0034】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１：ｔａｇ」の場合のキーバリューデータベースＤＢ１５においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、ＩＰアドレスを示す「ｉｐ」、語句情報を示す「ｔａｇ」といった総称値とＩＰアドレスの具体値である「２０３．０．１１３．１」からなる。このため、ＩＰアドレスである「２０３．０．１１３．１」が索引情報であるＩＰアドレスと語句情報との間を紐づける。

【0035】

検索キーが「ｃｕｒｅ：ｐｕｂ：ｉｐ：２０３．０．１１３．１：ｔａｇ」の場合、値は「Ｇｒｏｕｐ１２３」といった語句情報の具体値となる。ＩＰアドレスの具体値である「２０３．０．１１３．１」が語句情報の具体値に結び付けられた索引情報となる。なおより分かりやすい例としては、語句情報の具体値として、「ＷａｎｎａＣｒｙ」や「Ｒａｎｓｏｍｅｗａｒｅ」などが挙げられる。

【0036】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｔａｇ：Ｇｒｏｕｐ１２３：ｉｐ」の場合のキーバリューデータベースＤＢ１６においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、語句情報を示す「ｔａｇ」、ＩＰアドレスを示す「ｉｐ」といった総称値と語句情報の具体値である「Ｇｒｏｕｐ１２３」からなる。このため、語句情報である「Ｇｒｏｕｐ１２３」が語句情報と索引情報であるＩＰアドレスとの間を紐づける。

【0037】

検索キーが「ｃｕｒｅ：ｐｕｂ：ｔａｇ：Ｇｒｏｕｐ１２３：ｉｐ」の場合、値は「２０３．０．１１３．１」といったＩＰアドレスの具体値となる。語句情報の具体値である「Ｇｒｏｕｐ１２３」がＩＰアドレスの具体値に結び付けられた索引情報となる。

【0038】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｔａｇ：Ｇｒｏｕｐ１２３：ｄｏｍａｉｎ」の場合のキーバリューデータベースＤＢ１７においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、語句情報を示す「ｔａｇ」、ドメイン名を示す「ｄｏｍａｉｎ」といった総称値と語句情報の具体値である「Ｇｒｏｕｐ１２３」からなる。このため、語句情報である「Ｇｒｏｕｐ１２３」が語句情報と索引情報であるドメイン名との間を紐づける。

【0039】

検索キーが「ｃｕｒｅ：ｐｕｂ：ｔａｇ：Ｇｒｏｕｐ１２３：ｄｏｍａｉｎ」の場合、値は「ｗｗｗ．ｅｘａｍｐｌｅ．ｏｒｇ」といったドメイン名の具体値となる。語句情報の具体値である「Ｇｒｏｕｐ１２３」がドメイン名の具体値に結び付けられた索引情報となる。

【0040】

例えば検索キーが「ｃｕｒｅ：ｐｕｂ：ｔａｇ：Ｇｒｏｕｐ１２３：ｆｉｌｅ」の場合のキーバリューデータベースＤＢ１８においては、検索キーは、「ｃｕｒｅ」、「ｐｕｂ」、語句情報を示す「ｔａｇ」、ファイルのハッシュ値を示す「ｆｉｌｅ」といった総称値と語句情報の具体値である「Ｇｒｏｕｐ１２３」からなる。このため、語句情報である「Ｇｒｏｕｐ１２３」が語句情報と索引情報であるファイルのハッシュ値との間を紐づける。

【0041】

検索キーが「ｃｕｒｅ：ｐｕｂ：ｔａｇ：Ｇｒｏｕｐ１２３：ｆｉｌｅ」の場合、値は「７３３３６ａ８ｅ９ｅａ４３４５０８４ｃ９０３３３６ｂｅ４１２６４」といったファイルのハッシュ値の具体値となる。語句情報の具体値である「Ｇｒｏｕｐ１２３」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。

【0042】

次に図３を用いてキーバリューデータベースＤＢ１のデータ構造について説明する。図３は、本実施の形態による情報分析装置１に記憶されるキーバリューデータベースＤＢ１のデータ構造の概念を示す図である。図３に示すようにキーバリューデータベースＤＢ１は、階層構造を有しており、例えば最上位階層は、索引情報によって紐づけられ、最下位階層は語句情報によって紐づけられる。

【0043】

具体的には、最上位階層である第１の階層は、キーバリューデータベースＤＢ１１であって、第２の階層は、キーバリューデータベースＤＢ１２，ＤＢ１３，ＤＢ１５であって、最下位階層である第３の階層は、キーバリューデータベースＤＢ１６，ＤＢ１７，ＤＢ１８である。

【0044】

第１の階層及び第２の階層は、ＩＰアドレスの具体値である「２０３．０．１１３．１」によって紐づいており、第２の階層及び第３の階層は、語句情報の具体値である「Ｇｒｏｕｐ１２３」によって紐づいている。

【0045】

次に図４を用いて使用者端末４に表示される画面２０について説明する。図４は、本実施の形態による情報分析装置１によって使用者端末４に表示される画面２０を示す。図４に示すように、画面２０は例えばＪＳＯＮ（JavaScript Object Notation）形式のＡＰＩ（Application Programming Interface）及びウェブユーザインタフェースを備える。

【0046】

画面２０には使用者の利用ケースに合わせて適宜情報が表示される。画面２０には、ＩＰアドレスと語句情報が表示されている。使用者端末４に自然言語による語句が表示される情報が送信されているため、画面２０には語句情報が表示されている。

【0047】

画面２０の詳細について説明を行う。画面２０は、領域２１～３０を含む。領域２１には、分析の対象となっているＩＰアドレスが表示される。領域２２には、分析の対象とする種別を選択するための選択肢が表示される。領域２３には、分析の対象がどこの地域のものであるかが表示される。

【0048】

領域２４には、語句情報が表示される。領域２５には索引情報又は語句情報がパブリッシャーから最後に発行された年月日時分秒が表示される。領域２６には情報分析装置１以外の他の情報源へのリンク情報が表示される。

【0049】

領域２７には、どのパブリッシャーからの情報を情報分析装置１がいつ受信したかの情報が表示される。領域２８には、所定の期間内に情報分析装置１が受信した情報の発行元である全てのパブリッシャーに対するそれぞれのパブリッシャーの割合に関する情報が表示される。領域２９には所定の期間内に情報分析装置１が受信した情報の詳細が表示される。領域３０には情報分析装置１が扱う全ての索引情報及び語句情報が表示される。

【0050】

次に図５を用いて情報分析装置１が行う情報分析処理について説明する。図５は、輻輳制御処理の処理手順を示すフローチャートである。パブリッシャーがセキュリティ関連情報を発行すると、パブリッシャーメッセージ受信部５は、セキュリティ関連情報を受信する（Ｓ１）。

【0051】

次に索引情報生成部１０は、例えばキーバリューデータベースＤＢ１１のような索引情報を生成する（Ｓ２）。次に実体情報投入部１１は、キーバリューデータベースＤＢ１２のような実体情報をデータベース記憶部８に投入する（Ｓ３）。

【0052】

次に関連抽出部１２は、例えばキーバリューデータベースＤＢ１３のように実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する（Ｓ４）。次に意味付け部１３は、例えばキーバリューデータベースＤＢ１５～１８のように意味付けを行う（Ｓ５）。次にサブスクライバー送受信部は、サブスクライバーから受信する分析結果取得要求に応じてサブスクライバーに分析結果情報を送信する（Ｓ６）。

【0053】

以上のように本実施の形態による情報分析装置１は、例えば語句情報が画面２０に表示されるため使用者にとって情報分析装置１による分析の結果がわかりやすくなる。また本実施の形態による情報分析装置１においては、パブリッシャーによってセキュリティ関連情報を発行しサブスクライバーによって分析の結果を受信する（以下、これを購読と呼んでもよい）というパブリッシャーサブスクライバーモデルを利用している。

【0054】

本実施の形態において情報分析装置１は、パブリッシャーサブスクライバーモデルを利用しているため、脅威観測装置２や利用例列挙装置３といったパブリッシャーを追加することで新しい利用例を追加するなどといった機能の拡張が容易にできる。

【0055】

例えば、使用者端末４としてのＳＩＥＭ装置や脅威情報プラットフォーム提供装置は、受信した分析結果情報をもとに脅威観測装置２や利用例列挙装置３として情報分析装置にセキュリティ関連情報を送信することもできる。このようにすることで情報分析装置１は機能の拡張が容易になる。

【0056】

また本実施の形態において情報分析装置１は、キーバリュー型データベースを利用しているため、完全一致の場合の検索性能は、計算量オーダーで示すとＯ（１）となり、部分一致の場合の検索性能は、計算量オーダーで示すとＯ（Ｎ）となるため、検索速度が低下しにくい。

【0057】

Ｎは、検索情報の総数と、語句情報を足した数で、本実施の形態においては、検索情報がＩＰアドレス、ドメイン名及びファイルハッシュ値の３つであるため、４とする。意味付けも拡張できる。

【0058】

また上述の実施の形態においては、検索情報はＩＰアドレス、ドメイン名及びファイルハッシュ値の３つの場合について述べたが、これに限らない。例えば検索情報にメールアドレスが追加されてもよい。

【0059】

以上のように本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することが可能となる。

【0060】

上述の実施の形態においてはパブリッシャーメッセージ受信部５、前処理部６、横断分析部７、データベース記憶部８及びサブスクライバー送受信部９が集積回路の場合について述べたが、本実施の形態はこれに限らない。パブリッシャーメッセージ受信部５、前処理部６、横断分析部７、データベース記憶部８及びサブスクライバー送受信部９は例えばサーバなどに記憶されたプログラムによって実装されてもよい。

【0061】

またパブリッシャーメッセージ受信部５、前処理部６、横断分析部７、データベース記憶部８及びサブスクライバー送受信部９は、１つの装置に実装されず、例えばネットワークで接続された複数の装置に分散して実装されていてもよい。

【符号の説明】

【0062】

１……情報分析装置、２……脅威観測装置、３……利用例列挙装置、４……使用者端末、５……パブリッシャーメッセージ受信部、６……前処理部、７……横断分析部、８……データベース記憶部、９……サブスクライバー送受信部。

【図1】

【図2】

【図3】

【図4】

【図5】