Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7104376B2 - Inference rule generation support device, inference rule generation support method, and program - Google Patents
[go: Go Back, main page]

JP7104376B2 - Inference rule generation support device, inference rule generation support method, and program - Google Patents

Inference rule generation support device, inference rule generation support method, and program Download PDF

Info

Publication number
JP7104376B2
JP7104376B2 JP2020533975A JP2020533975A JP7104376B2 JP 7104376 B2 JP7104376 B2 JP 7104376B2 JP 2020533975 A JP2020533975 A JP 2020533975A JP 2020533975 A JP2020533975 A JP 2020533975A JP 7104376 B2 JP7104376 B2 JP 7104376B2
Authority
JP
Japan
Prior art keywords
information
event
matches
related information
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020533975A
Other languages
Japanese (ja)
Other versions
JPWO2020026388A1 (en
Inventor
拓也 川田
格 細見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020026388A1 publication Critical patent/JPWO2020026388A1/en
Application granted granted Critical
Publication of JP7104376B2 publication Critical patent/JP7104376B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、推論規則の生成を支援する推論規則生成支援装置、推論規則生成支援方法に関し、更には、これらを実現するためのプログラムに関する。
The present invention relates to an inference rule generation support device that supports the generation of inference rules, an inference rule generation support method, and a program for realizing these.

近年、多種多様な情報を用いて、今後起こり得る事象の仮説とその根拠を分かり易く提示することにより、意思決定の効率化を図る推論技術の開発が進められている。推論技術とは、前提部と帰結部とから構成される述語論理(推論規則)に基づいて、推論を実行し、事実から結論に至る過程又は根拠又はその両方を提示する技術である。 In recent years, inference techniques have been developed to improve the efficiency of decision-making by presenting hypotheses of possible events and their grounds in an easy-to-understand manner using a wide variety of information. The inference technique is a technique for executing inference based on predicate logic (inference rule) composed of a premise part and a consequent part, and presenting a process from a fact to a conclusion, or a basis, or both.

そのような推論技術においては、質の高い推論規則を、効率よく生成する方法の確立が望まれている。その理由は、現状では、推論規則を生成するには、人手を介すため、質の高い推論規則の安定的な生成が保証されないからである。更に、人手を介すため、効率よく推論規則を生成することができないためである。 In such inference techniques, it is desired to establish a method for efficiently generating high-quality inference rules. The reason is that, at present, stable generation of high-quality inference rules is not guaranteed because it requires manual labor to generate inference rules. Furthermore, it is not possible to efficiently generate inference rules due to human intervention.

関連する技術として、非特許文献1、非特許文献2が知られている。非特許文献1には、ウェブなどで扱う大規模文書から、言語パターン間の含意関係を、機械学習を用いて導出する方法が開示されている。また、非特許文献2には、大規模文書から、因果関係を、機械学習を用いて導出する方法が開示されている。 Non-Patent Document 1 and Non-Patent Document 2 are known as related techniques. Non-Patent Document 1 discloses a method of deriving an implication relationship between language patterns from a large-scale document handled on the Web or the like by using machine learning. Further, Non-Patent Document 2 discloses a method of deriving a causal relationship from a large-scale document by using machine learning.

Julien Kloetzer,外3名,“Large-Scale Acquisition of Entailment Pattern Pairs by Exploiting Transitivity”,Proceedings of the 2015 Conference on Empirical Methods in Natural Language Processing,pages 1649-1655,Lisbon Portugal 17-21 September 2015,Association for Computational LinguisticsJulien Kloetzer, 3 outsiders, “Large-Scale Acquisition of Entailment Pattern Pairs by Exploiting Transitivity”, Proceedings of the 2015 Conference on Empirical Methods in Natural Language Processing, pages 1649-1655, Lisbon Portugal 17-21 September 2015, Association for Computational Linguistics Chikara Hashimoto,外3名,“Generating Event Causality Hypotheses through Semantic Relations”,[online],平成27年2月19日,Proceedings of the Twenty-Ninth AAAI Conference on Artificial Intelligence,[平成30年6月5日検索],インターネット<URL:https://www2.kbs.uni-hannover.de/fileadmin/institut/pdf/webscience/2015-16/papers/9854-44405-1-PB.pdf>Chikara Hashimoto, 3 outsiders, “Generating Event Causality Hypotheses through Semantic Relations”, [online], February 19, 2015, Proceedings of the Twenty-Ninth AAAI Conference on Artificial Intelligence, [Search June 5, 2018 ], Internet <URL: https://www2.kbs.uni-hannover.de/fileadmin/institut/pdf/webscience/2015-16/papers/9854-44405-1-PB.pdf>

しかしながら、非特許文献1、2に開示された技術には、単一の前提部と単一の帰結部との関係を導出する開示はあるが、複数の前提部から単一の帰結部を導出する開示はない。また、推論規則において、前提部と帰結部との関係は、前提部から帰結部を導出できる関係でなければならないので、非特許文献1、2の技術に開示されているような、確率的な関係を表すスコアを、推論規則に適用することはできない。 However, although there is a disclosure in the techniques disclosed in Non-Patent Documents 1 and 2 that derives the relationship between a single premise part and a single consequent part, a single consequent part is derived from a plurality of premise parts. There is no disclosure. Further, in the inference rule, the relationship between the premise part and the consequent part must be a relationship in which the consequent part can be derived from the premise part, so that it is probabilistic as disclosed in the techniques of Non-Patent Documents 1 and 2. Relationship scores cannot be applied to inference rules.

また、人手を介して、前提部を網羅した推論規則を作成することが困難な理由は、例えば、「前提Aと前提Bとが成立した場合(前提部)、あるマルウェアWの活動が認められる(帰結部)」という推論規則を作成するはずが、作成者が誤って「前提B」に関する記載を欠いたりすることがあるためである。すなわち、次のような「前提Aが成立した場合、あるマルウェアWの活動が認められる」という誤った推論規則が作成されることがあるからである。そうすると、そのような誤った推論規則を用いた場合、誤った推論結果を導くことになる。 In addition, the reason why it is difficult to manually create an inference rule that covers the premise part is, for example, "when premise A and premise B are satisfied (premise part), the activity of a certain malware W is recognized. (Consequent part) ”is supposed to be created, but the creator may mistakenly lack the description of“ Assumption B ”. That is, the following erroneous inference rule that "when the premise A is satisfied, the activity of a certain malware W is recognized" may be created. Then, if such an erroneous inference rule is used, an erroneous inference result will be derived.

更に、作成者が推論規則「添付ファイルを開いた場合(前提部)、マルウェアWが活動する(帰結部)」を作成したとする。ところが、実際には、添付ファイルを開くことにより感染して活動するマルウェアは、マルウェアW以外にもある。そのため、上述した推論規則にける前提部は、帰結部を導くための十分条件を満たしていない。すなわち、上述した推論規則における前提部は、必要条件としては正しくても、帰結部を導くための前提条件を充足しておらず、推論規則としては不正確である。 Furthermore, it is assumed that the creator creates an inference rule "when the attached file is opened (premise part), malware W is activated (result part)". However, in reality, there are malware other than malware W that infects and acts by opening an attached file. Therefore, the premise part in the above-mentioned inference rule does not satisfy the sufficient condition for deriving the consequent part. That is, the premise part in the above-mentioned inference rule is correct as a necessary condition, but does not satisfy the precondition for deriving the consequent part, and is inaccurate as an inference rule.

このように、推論規則を人手、又は機械により自動的に作成した場合、前提部が帰結部を導くための十分条件を満たしていない可能性があるため、質の高い推論規則を、効率よく生成することができない。 In this way, when the inference rule is automatically created manually or by machine, the premise part may not meet the sufficient conditions for deriving the consequent part, so a high-quality inference rule can be efficiently generated. Can not do it.

本発明の目的の一例は、質の高い推論規則を、効率よく生成する推論規則生成支援装置、推論規則生成支援方法、及びプログラムを提供することにある。
An example of an object of the present invention is to provide an inference rule generation support device, an inference rule generation support method, and a program for efficiently generating high-quality inference rules.

上記目的を達成するため、本発明の一側面における推論規則生成支援装置は、
前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、取得部と
取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、生成部と、
を有することを特徴とする。
In order to achieve the above object, the inference rule generation support device in one aspect of the present invention is used.
Event-related dictionary information composed of a plurality of event-related information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the preceding information and the following information. To obtain the event-related information to be used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. A generation unit that generates the previous event information by concatenating the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent event information among the acquired event-related information. When,
It is characterized by having.

また、上記目的を達成するため、本発明の一側面における推論規則生成支援方法は、
(a)前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、ステップと
(b)取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、ステップと、
を有することを特徴とする。
Further, in order to achieve the above object, the inference rule generation support method in one aspect of the present invention is provided.
(A) An event relationship composed of a plurality of event relationship information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the preceding information and the following information. Referencing the dictionary information, the event-related information used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. Of the steps to be acquired and (b) the acquired event-related information, the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent information is concatenated to obtain the previous event information. Generate, step and
It is characterized by having.

更に、上記目的を達成するため、本発明の一側面におけるプログラムは
コンピュータに、
(a)前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、ステップと
(b)取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、ステップと、
を実行させることを特徴とする。
Further, in order to achieve the above object, the program in one aspect of the present invention is:
On the computer
(A) An event relationship composed of a plurality of event relationship information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the preceding information and the following information. Referencing the dictionary information, the event-related information used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. Of the steps to be acquired and (b) the acquired event-related information, the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent information is concatenated to obtain the previous event information. Generate, step and
Is characterized by executing.

以上のように本発明によれば、質の高い推論規則を、効率よく生成することができる。 As described above, according to the present invention, high-quality inference rules can be efficiently generated.

図1は、推論規則生成支援装置の一例を示す図である。FIG. 1 is a diagram showing an example of an inference rule generation support device. 図2は、推論規則生成支援装置を有するシステムの一例を示す図である。FIG. 2 is a diagram showing an example of a system having an inference rule generation support device. 図3は、取得部の説明をするための図である。FIG. 3 is a diagram for explaining the acquisition unit. 図4は、変換情報の一例を示す図である。FIG. 4 is a diagram showing an example of conversion information. 図5は、推論規則生成支援装置の動作の一例を示す図である。FIG. 5 is a diagram showing an example of the operation of the inference rule generation support device. 図6は、事象経路のイメージを示す図である。FIG. 6 is a diagram showing an image of the event path. 図7は、推論規則生成支援装置を実現するコンピュータの一例を示す図である。FIG. 7 is a diagram showing an example of a computer that realizes an inference rule generation support device.

(実施の形態)
以下、本発明の実施の形態について、図1から図7を参照しながら説明する。
(Embodiment)
Hereinafter, embodiments of the present invention will be described with reference to FIGS. 1 to 7.

[装置構成]
最初に、図1を用いて、本実施の形態における推論規則生成支援装置の構成について説明する。図1は、推論規則生成支援装置の一例を示す図である。
[Device configuration]
First, the configuration of the inference rule generation support device according to the present embodiment will be described with reference to FIG. FIG. 1 is a diagram showing an example of an inference rule generation support device.

図1に示す本実施の形態における推論規則生成支援装置1は、質の高い推論規則を、効率よく生成するための装置である。図1に示すように、推論規則生成支援装置1は、取得部2と、生成部3とを有する。 The inference rule generation support device 1 according to the present embodiment shown in FIG. 1 is an apparatus for efficiently generating high-quality inference rules. As shown in FIG. 1, the inference rule generation support device 1 has an acquisition unit 2 and a generation unit 3.

このうち、取得部2は、前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前件情報と一致する始点となる前部事象情報から、後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、事象関係情報を取得する。生成部3は、取得した事象関係情報のうち、後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、新たな前件情報を生成する。 Of these, the acquisition unit 2 uses the rule information representing the rule relationship between the previous case information and the latter case information, and uses a plurality of event-related information in which the front event information and the rear event information are associated with each other by the relationship name information. Event-related information used to construct an event path from the front event information, which is the starting point that matches the previous information, to the rear event information, which is the ending point that matches the subsequent information, by referring to the configured event-related dictionary information. To get. The generation unit 3 generates new antecedent information by concatenating the event-related information other than the event-related information having the rear event information that is the end point that matches the consequent information among the acquired event-related information.

規則情報は、述語論理などで表現された推論規則を表す情報で、例えば、「前件情報=> 後件情報」のように表すことができる。前件情報は、述語論理などで表現された推論規則における前提部を表し、後件情報は、述語論理などで表現された推論規則における帰結部を表している。また、記号「=>」は含意関係を表す記号である。具体的には、規則情報は、次に示す述語論理のように表すことができる。
exists(″添付ファイル″) => act(″マルウェアW″)
The rule information is information representing an inference rule expressed by predicate logic or the like, and can be expressed as, for example, "antecedent information => consequent information". The antecedent information represents the premise part in the inference rule expressed by predicate logic and the like, and the consequent information represents the consequent part in the inference rule expressed by predicate logic and the like. The symbol "=>" is a symbol representing an implication relationship. Specifically, the rule information can be expressed as the following predicate logic.
exists (″ Attachment ″) => act (″ Malware W ″)

なお、述語論理の形式は上述した形式に限定されるものではない。 The form of predicate logic is not limited to the above-mentioned form.

事象関係情報は、二つの事象(エンティティ)間の関連(リレーションシップ)を表す情報で、例えば、「″前部事象情報″<関係名情報> ″後部事象情報″」のように表すことができる。前部事象情報と後部事象情報とは、二つの異なる事象を表す。関係名情報は、前件事象と後件事象との関連を表す。具体的には、複数の事象関係情報は、次のように表すことができる。なお、詳細については後述する。 The event-related information is information representing a relationship between two events (entities), and can be expressed as, for example, "" front event information "<relationship name information>" rear event information "". .. The front event information and the rear event information represent two different events. The relationship name information represents the relationship between the antecedent event and the consequent event. Specifically, a plurality of event-related information can be expressed as follows. The details will be described later.

″カミンスキー攻撃″ <synonym> ″カミンスキー・アタック″
″カミンスキー攻撃″ <p:cause> ″情報漏洩″
″DNSSEC″ <p:prevents> ″カミンスキー攻撃″
″添付ファイル″ <hasInstance> ″Hoge.docx″
″添付ファイル″ <hasInstance> ″Hoge.xlsx″
″Hoge.docx″ <p:drop> ″tasksche.exe″
″Hoge.xlsx″ <p:drop> ″eviltask.exe″
″tasksche.exe″ <p:connect> ″fuga.com″
″eviltask.exe″ <p:connect> ″malware.com″
″fuga.com″ <isIndicationOf> ″マルウェアW″
″malware.com″ <isIndicationOf> ″マルウェアZ″
"Kaminsky Attack"<synonym>"KaminskyAttack"
"KaminskyAttack"<p:cause>"InformationLeakage"
″ DNSSEC ″ <p: prevents> ″ Kaminsky Attack ″
″ Attachment ″ <hasInstance> ″ Hoge.docx ″
″ Attachment ″ <hasInstance> ″ Hoge.xlsx ″
″ Hoge.docx ″ <p: drop> ″ tasksche.exe ″
″ Hoge.xlsx ″ <p: drop> ″ eviltask.exe ″
″ Tasksche.exe ″ <p: connect> ″ fuga.com ″
″ Eviltask.exe ″ <p: connect> ″ malware.com ″
″ Fuga.com ″ <isIndicationOf> ″ Malware W ″
″ Malware.com ″ <isIndicationOf> ″ Malware Z ″

また、複数の事象関係情報は、推論規則生成支援装置1内に設けられる記憶部、又は、推論規則生成支援装置1外に設けられる記憶部などに記憶されている。 Further, the plurality of event-related information is stored in a storage unit provided inside the inference rule generation support device 1, a storage unit provided outside the inference rule generation support device 1, or the like.

事象経路は、対象の規則情報を用いて事象関係情報より取得した、前部事象情報、関係名情報、後部事象情報に基づいて、前件情報と一致する始点となる前部事象情報から、後件情報と一致する終点となる後部事象情報に至る事象経路である。具体的には、対象の規則情報を上述した「exists(″添付ファイル″) => act(″マルウェアW″)」とし、事象関係情報を上述した複数の事象関係情報とした場合、次に示すような事象経路を構築するために用いる事象関係情報を取得する。なお、詳細については後述する。 The event path is based on the front event information, the relation name information, and the rear event information acquired from the event relation information using the target rule information, and is from the front event information which is the starting point that matches the front event information. This is the event path leading to the consequent event information, which is the end point that matches the matter information. Specifically, when the target rule information is the above-mentioned "exists (" attachment ") => act (" malware W ")" and the event-related information is the above-mentioned plurality of event-related information, it is shown below. Acquire event-related information used to construct such an event path. The details will be described later.

″添付ファイル″ <hasInstance> ″Hoge.docx″
″Hoge.docx″ <p:drop> ″tasksche.exe″
″tasksche.exe″ <p:connect> ″fuga.com″
″fuga.com″ <isIndicationOf>″マルウェアW″
″ Attachment ″ <hasInstance> ″ Hoge.docx ″
″ Hoge.docx ″ <p: drop> ″ tasksche.exe ″
″ Tasksche.exe ″ <p: connect> ″ fuga.com ″
″ Fuga.com ″ <isIndicationOf> ″ Malware W ″

新たな前件情報は、対象の規則情報の前件情報に代わる情報である。具体的には、まず、事象経路を構築するために取得した事象関係情報それぞれを次のような前件情報の形式に変換する。なお、詳細については後述する。 The new antecedent information is information that replaces the antecedent information of the target rule information. Specifically, first, each of the event-related information acquired for constructing the event path is converted into the following antecedent information format. The details will be described later.

″添付ファイル″ <hasInstance> ″Hoge.docx″
→ exists(″Hoge.docx″)
″Hoge.docx″ <p:drop> ″tasksche.exe″
→ drop(″Hoge.docx″, ″tasksche.exe″)
″tasksche.exe″ <p:connect> ″fuga.com″
→ connect(″tasksche.exe″, ″fuga.com″)
″fuga.com″ <isIndicationOf>″マルウェアW″
→ act(″マルウェアW″)
″ Attachment ″ <hasInstance> ″ Hoge.docx ″
→ exists (″ Hoge.docx ″)
″ Hoge.docx ″ <p: drop> ″ tasksche.exe ″
→ drop (″ Hoge.docx ″, ″ tasksche.exe ″)
″ Tasksche.exe ″ <p: connect> ″ fuga.com ″
→ connect (″ tasksche.exe ″, ″ fuga.com ″)
″ Fuga.com ″ <isIndicationOf> ″ Malware W ″
→ act ("Malware W")

次に、変換した事象関係情報のうち、後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を論理積「^」などを用いて連結して、新たな前件情報を生成する。
exists(″Hoge.docx″)
^ drop(″Hoge.docx″, ″tasksche.exe″)
^ connect(″tasksche.exe″, ″fuga.com″)
Next, among the converted event-related information, the event-related information other than the event-related information having the rear event information that is the end point that matches the consequent information is concatenated by using a logical product "^" or the like to create a new antecedent. Generate matter information.
exists (″ Hoge.docx ″)
^ Drop ("Hoge.docx", "tasksche.exe")
^ Connect (″ tasksche.exe ″, ″ fuga.com ″)

その後、新たな前件情報を前提部とする規則情報を生成する。
exists(″Hoge.docx″)
^ drop(″Hoge.docx″, ″tasksche.exe″)
^ connect(″tasksche.exe″, ″fuga.com″) => act(″マルウェアW″)
After that, rule information based on the new antecedent information is generated.
exists (″ Hoge.docx ″)
^ Drop ("Hoge.docx", "tasksche.exe")
^ Connect ("tasksche.exe", "fuga.com") => act ("Malware W")

このように、本実施の形態では、対象の規則情報を用いて事象関係情報より取得した、事象経路を構築するために用いる前部事象情報、関係名情報、後部事象情報に基づいて、新たな前件情報を生成することで、前提部が帰結部を導くための十分条件を満たした、質の高い推論規則を、効率よく生成することができる。 As described above, in the present embodiment, new information is obtained based on the front event information, the relation name information, and the rear event information used for constructing the event path, which are acquired from the event relation information using the target rule information. By generating the previous information, it is possible to efficiently generate a high-quality inference rule that satisfies the sufficient conditions for the premise part to derive the consequent part.

[システム構成]
続いて、図2を用いて、本実施の形態における推論規則生成支援装置1の構成をより具体的に説明する。図2は、推論規則生成支援装置を有するシステムの一例を示す図である。
[System configuration]
Subsequently, with reference to FIG. 2, the configuration of the inference rule generation support device 1 in the present embodiment will be described more specifically. FIG. 2 is a diagram showing an example of a system having an inference rule generation support device.

図2に示すように、本実施の形態における推論規則生成支援装置1は、取得部2及び生成部3に加えて、正規化部21、表現拡張部22、論理変換部23を有する。また、推論規則生成支援装置1を有するシステムは、例えば、複数の事象関係情報などを記憶した記憶部20を有する。 As shown in FIG. 2, the inference rule generation support device 1 in the present embodiment has a normalization unit 21, an expression extension unit 22, and a logic conversion unit 23 in addition to the acquisition unit 2 and the generation unit 3. Further, the system having the inference rule generation support device 1 has, for example, a storage unit 20 that stores a plurality of event-related information and the like.

正規化部21は、自然文(自然言語のテキストデータなど)で表された規則情報を取得した場合、取得した自然文に対して形態素解析、述語項構造解析などの解析処理を適用して、取得した自然文を予め設定した形式の規則情報へ変換(正規化)する。具体的には、正規化部21は、自然文が「添付ファイルを開いた場合(前提部)、マルウェアWが活動する(帰結部)」である場合、上述した「exists(″添付ファイル″) => act(″マルウェアW″)」のような形式の規則情報が生成される。なお、規則情報の形式は上述した形式に限定されるものではない。 When the normalization unit 21 acquires rule information represented by a natural sentence (text data in a natural language, etc.), the normalization unit 21 applies analysis processing such as morphological analysis and predicate term structure analysis to the acquired natural sentence. Converts (normalizes) the acquired natural sentence into rule information in a preset format. Specifically, the normalization unit 21 describes the above-mentioned "exists (" attachment file ") when the natural sentence is" when the attachment file is opened (premise part) and the malware W is active (result part) ". => Rule information in the form of "act ("malware W ")" is generated. The format of the rule information is not limited to the above-mentioned format.

表現拡張部22は、正規化された規則情報の前提部及び帰結部の表現を、記憶部20に記憶された含意表現辞書情報及び同義表現辞書情報などを用いた表現拡張処理を適用して、規則情報の表現を拡張する。具体的には、表現拡張部22は、特開2016-164708号公報に開示の技術などを用いて、規則情報の表現を拡張する。 The expression extension unit 22 applies the expression extension process using the implication expression dictionary information and the synonymous expression dictionary information stored in the storage unit 20 to the expressions of the premise part and the consequent part of the normalized rule information. Extend the representation of rule information. Specifically, the expression extension unit 22 extends the expression of the rule information by using the technique disclosed in Japanese Patent Application Laid-Open No. 2016-164708.

例えば、上述した「exists(″添付ファイル″) => act(″マルウェアW″)」に対する拡張表現として、「exists (″添付ファイル″) => attack (″マルウェアW″)」「execute(″添付ファイル″)=> act(″マルウェアW″)」「execute(″添付ファイル″)=> attack(″マルウェアW″)」などを生成する。 For example, as an extended expression for the above-mentioned "exists (" attachment ") => act ("malware W ")", "exists (" attachment ") => attack ("malware W ")" "execute (" attachment) Generate files such as ") => act ("malware W ")" and "execute (" attachment ") => attack ("malware W ")".

なお、含意表現辞書情報及び同義表現辞書情報は、推論規則生成支援装置1内に設けられる記憶部、又は、推論規則生成支援装置1外に設けられる記憶部20などに記憶されている。 The implication expression dictionary information and the synonymous expression dictionary information are stored in a storage unit provided inside the inference rule generation support device 1, a storage unit 20 provided outside the inference rule generation support device 1, and the like.

取得部2は、自然文に対して正規化及び表現拡張を適用して求めた規則情報、又は、既に正規化済みの規則情報を用いて、複数の事象関係情報から構成される事象関係辞書情報を参照し、事象経路の構築に用いる事象関係情報を取得する。 The acquisition unit 2 uses the rule information obtained by applying normalization and expression extension to the natural sentence, or the event-related dictionary information composed of a plurality of event-related information by using the rule information that has already been normalized. To acquire the event-related information used to construct the event path by referring to.

図3を用いて具体的に説明する。図3は、取得部の説明をするための図である。取得部2は、まず、規則情報31を取得する。続いて、取得部2は、規則情報31を用いて、記憶部20に記憶されている複数の事象関係情報からなる事象関係辞書情報32を参照して、事象経路に関係する事象関係情報を抽出する。 This will be specifically described with reference to FIG. FIG. 3 is a diagram for explaining the acquisition unit. The acquisition unit 2 first acquires the rule information 31. Subsequently, the acquisition unit 2 extracts the event-related information related to the event path by referring to the event-related dictionary information 32 composed of a plurality of event-related information stored in the storage unit 20 by using the rule information 31. do.

ここで、事象関係辞書情報は、広義のオントロジと見做せる情報で、対象分野に特化したオントロジと想定できる。また、事象関係辞書情報は、多種多様な情報を用いて生成する。なお、図3に示した事象関係辞書情報32は、サイバーセキュリティ分野を対象としたもので、コモンセンスな知識情報、概念辞書情報(意味辞書情報)、IOC(Indicator Of Compromise:攻撃の痕跡情報)、脆弱性情報、各種ベンダが提供するセキュリティ機器から出力されるログデータ、日々更新される多種多様な情報などを用いて自動的に構築したものである。 Here, the event-related dictionary information is information that can be regarded as an ontology in a broad sense, and can be assumed to be an ontology specialized in the target field. In addition, event-related dictionary information is generated using a wide variety of information. The event-related dictionary information 32 shown in FIG. 3 is intended for the cyber security field, and includes common sense knowledge information, conceptual dictionary information (semantic dictionary information), and IOC (Indicator Of Compromise: trace information of attacks). , Vulnerability information, log data output from security devices provided by various vendors, and a wide variety of information that is updated daily.

更に、事象関係辞書情報は、推論規則生成支援装置1内に設けられる記憶部、又は、推論規則生成支援装置1外に設けられる記憶部20などに記憶されている。なお、事象関係辞書情報は、分割して記憶されていてもよい。 Further, the event-related dictionary information is stored in a storage unit provided inside the inference rule generation support device 1, a storage unit 20 provided outside the inference rule generation support device 1, and the like. The event-related dictionary information may be divided and stored.

事象経路に関係する事象関係情報の取得について一例を説明する。取得部2は、規則情報31を用いて、事象関係辞書情報32を参照し、規則情報31の前件情報と一致する始点となる前部事象情報(″添付ファイル″)を有する事象関係情報を取得する。加えて、取得部2は、規則情報31の後件情報(″マルウェアW″)と一致する終点となる後部事象情報を有する事象関係情報とを取得する(第一の取得部)。 An example of acquisition of event-related information related to the event path will be described. The acquisition unit 2 uses the rule information 31 to refer to the event-related dictionary information 32, and obtains the event-related information having the front event information ("attached file") which is the starting point that matches the antecedent information of the rule information 31. get. In addition, the acquisition unit 2 acquires the event-related information having the posterior event information that is the end point that matches the consequent information ("malware W") of the rule information 31 (first acquisition unit).

具体的には、図3の例においては、取得部2は、「″添付ファイル″ <hasInstance>″Hoge.docx″」「″添付ファイル″ <hasInstance>″Hoge.xlsx″」、及び「″fuga.com″ <isIndicationOf> ″マルウェアW″」を取得する。 Specifically, in the example of FIG. 3, the acquisition unit 2 includes "" attachment "<hasInstance>" Hoge.docx "", "" attachment "<hasInstance>" Hoge.xlsx "", and "" fuga. Get .com ″ <isIndicationOf> ″ Malware W ″ ”.

続いて、取得部2は、取得した始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報を用いて、事象関係辞書情報32を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報を取得する(第二の取得部)。 Subsequently, the acquisition unit 2 refers to the event-related dictionary information 32 by using the rear event information possessed by each of the event-related information having the front event information as the acquired start point, and the front portion that matches the rear event information. Acquires new event-related information having event information (second acquisition unit).

具体的には、取得部2は、始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報「″Hoge.docx″」「″Hoge.xlsx″」と一致する前部事象情報を有する事象関係情報を事象関係辞書情報32から取得する。すなわち、取得部2は、図3の例においては、「″Hoge.docx″ <p:drop> ″tasksche.exe″」「″Hoge.xlsx″ <p:drop> ″eviltask.exe″」を取得する。 Specifically, the acquisition unit 2 obtains the front event information that matches the rear event information "" Hoge.docx "" and "" Hoge.xlsx "" that each event-related information having the front event information as the starting point has. The event-related information to be possessed is acquired from the event-related dictionary information 32. That is, in the example of FIG. 3, the acquisition unit 2 acquires "" Hoge.docx "<p: drop>" tasksche.exe "" and "" Hoge.xlsx "<p: drop>" eviltask.exe "". do.

続いて、取得部2は、取得した事象関係情報の後部事象情報を用いて、事象関係辞書情報32を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで、処理を繰り返す(第三の取得部)。 Subsequently, the acquisition unit 2 refers to the event-relationship dictionary information 32 by using the rear-end event information of the acquired event-relationship information, and acquires new event-related information having the front-end event information that matches the rear-end event information. The process is repeated until no more is obtained (third acquisition unit).

具体的には、取得部2は、取得した事象関係情報の後部事象情報「″tasksche.exe″」「″eviltask.exe″」を用いて、事象関係辞書情報32を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す。すなわち、取得部2は、「″fuga.com″ <isIndicationOf> ″マルウェアW″」「″malware.com″ <isIndicationOf> ″マルウェアZ″」を取得する。 Specifically, the acquisition unit 2 refers to the event-related dictionary information 32 by using the rear event information "" tasksche.exe "" and "" eviltask.exe "" of the acquired event-related information, and refers to the rear event information. This is repeated until new event-related information having the front event information that matches with is no longer acquired. That is, the acquisition unit 2 acquires "" fuga.com "<isIndicationOf>" malware W "" and "" malware.com "<isIndicationOf>" malware Z "".

続いて、取得部2は、例えば、図3の33に示す(1)から(8)に示す順に事象経路を検出する。すなわち、前件情報と一致する始点となる前部事象情報「″添付ファイル″」から、後件情報と一致する終点となる後部事象情報「″マルウェアW″」に至る事象経路の構築に用いる、事象関係情報を取得する。図3の34を参照。 Subsequently, the acquisition unit 2 detects the event route in the order shown in (1) to (8) shown in 33 of FIG. 3, for example. That is, it is used to construct an event path from the front event information "" attachment "" which is the starting point that matches the antecedent information to the rear event information "" malware W "" which is the ending point that matches the consequent information. Acquire event-related information. See 34 in FIG.

論理変換部23は、取得部2を用いて取得した、事象関係情報それぞれに含まれる関係名情報に設定されている変換に基づいて、当該事象関係情報を所定の形式に変換する。図4を用いて具体的に説明をする。図4は、変換情報の一例を示す図である。論理変換部23は、図3に示す事象経路の構築に用いる事象関係情報(図3の34)に対して、図4に示す変換情報41を適用して、図4に示す42のように所定の形式に変換する。 The logical conversion unit 23 converts the event-related information into a predetermined format based on the conversion set in the relationship name information included in each of the event-related information acquired by the acquisition unit 2. A specific description will be given with reference to FIG. FIG. 4 is a diagram showing an example of conversion information. The logical conversion unit 23 applies the conversion information 41 shown in FIG. 4 to the event-related information (34 in FIG. 3) used for constructing the event path shown in FIG. 3, and determines the information as shown in 42 shown in FIG. Convert to the format of.

変換情報41について説明する。「A <p:○○○> B」で表されている事象関係情報の場合、「p:」から始まる関係名情報「○○○」を述語名とし、それぞれの事象情報を項とする論理式に変換する。 The conversion information 41 will be described. In the case of event-related information represented by "A <p: ○○○> B", the logic that uses the relation name information "○○○" starting with "p:" as the predicate name and each event information as a term. Convert to an expression.

次に、「A <hasInstance> B」で表されている事象関係情報の場合、BはAのインスタンスであるとことを表す。なお、事象情報の詳細化、個別化する操作として、AをBに置き換えてよいものとする。例えば、「exists(″添付ファイル″)」の場合、hasInstanceの定義により、”添付ファイル”を”Hoge.docx”に置き換える。 Next, in the case of the event-related information represented by "A <hasInstance> B", it means that B is an instance of A. It should be noted that A may be replaced with B as an operation for refining and individualizing the event information. For example, in the case of "exists (" attachment ")", replace "attachment" with "Hoge.docx" according to the definition of hasInstance.

「A <synonym> B」で表されている事象関係情報の場合、AとBは同義関係であることを表し、AとBは相互に置き換えることが可能であることを表す。 In the case of the event-related information represented by "A <synonym> B", it means that A and B have a synonymous relationship, and that A and B can be replaced with each other.

なお、定義されていない関係については、論理式への変換ができないため、不要と見做す。 It should be noted that undefined relationships cannot be converted into logical expressions, so they are considered unnecessary.

生成部3は、取得した事象経路の構築に用いる事象関係情報(図3の34)を所定の形式に変換した事象関係情報(図4の43)のうち、規則情報31の後件情報と一致する終点となる後部事象情報「act(″マルウェアW″)」を有する事象関係情報以外の事象関係情報「exists(″Hoge.docx″)」「drop(″Hoge.docx″, ″tasksche.exe″)」「connect(″tasksche.exe″, ″fuga.com″)」を連結し、新たな前件情報を生成する。 The generation unit 3 matches the consequent information of the rule information 31 among the event-related information (43 in FIG. 4) obtained by converting the acquired event-related information (34 in FIG. 3) into a predetermined format. Event-related information "exists ("Hoge.docx ")" "drop ("Hoge.docx "," tasksche.exe "" other than event-related information that has consequent event information "act (" malware W ")" ) ”And“ connect (″ tasksche.exe ″, ″ fuga.com ″)” to generate new consequent information.

具体的には、図4の43に示すような新たな前件情報(前提部)「exists(″Hoge.docx″)^drop(″Hoge.docx″, ″tasksche.exe″)^connect(″tasksche.exe″, ″fuga.com″)」を生成する。なお、生成部3は、後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報それぞれの連結を、論理積「^」を用いて行う。 Specifically, new antecedent information (premise part) “exists (″ Hoge.docx ″) ^ drop (″ Hoge.docx ″, ″ tasksche.exe ″) ^ connect (″) as shown in FIG. 443. Generate tasksche.exe ″, ″ fuga.com ″) ”. The generation unit 3 uses the logical product "^" to concatenate the event-related information other than the event-related information having the rear event information that is the end point that matches the consequent information.

続いて、生成部3は、新たに生成した前件情報を用いて、新たな規則情報(推論規則)を生成する。具体的には、図4の43に示すような規則情報「exists(″Hoge.docx″)^drop(″Hoge.docx″, ″tasksche.exe″)^connect(″tasksche.exe″, ″fuga.com″)=>act(″マルウェアW″)」を生成する。 Subsequently, the generation unit 3 generates new rule information (inference rule) using the newly generated antecedent information. Specifically, the rule information “exists (″ Hoge.docx ″) ^ drop (″ Hoge.docx ″, ″ tasksche.exe ″) ^ connect (″ tasksche.exe ″, ″ fuga ″, as shown in FIG. 443. Generate .com ″) => act (″ malware W ″) ”.

[装置動作]
次に、本発明の実施の形態における推論規則生成支援装置の動作について図5を用いて説明する。図5は、推論規則生成支援装置に動作の一例を示す図である。以下の説明においては、適宜図2から図4、図6を参酌する。また、本実施の形態では、推論規則生成支援装置を動作させることによって、推論規則生成支援方法が実施される。よって、本実施の形態における推論規則生成支援方法の説明は、以下の推論規則生成支援装置の動作説明に代える。
[Device operation]
Next, the operation of the inference rule generation support device according to the embodiment of the present invention will be described with reference to FIG. FIG. 5 is a diagram showing an example of operation of the inference rule generation support device. In the following description, FIGS. 2 to 4 and 6 will be referred to as appropriate. Further, in the present embodiment, the inference rule generation support method is implemented by operating the inference rule generation support device. Therefore, the description of the inference rule generation support method in the present embodiment is replaced with the following operation description of the inference rule generation support device.

ステップA1において、推論規則生成支援装置1が、自然文(自然言語のテキストデータなど)を取得する。ステップA2において、正規化部21が、自然文で表された規則情報を取得した場合、取得した自然文に対して形態素解析、述語項構造解析などの解析処理を適用して、取得した自然文を予め設定した形式の規則情報へ変換(正規化)する。 In step A1, the inference rule generation support device 1 acquires a natural sentence (text data in natural language, etc.). In step A2, when the normalization unit 21 acquires the rule information represented by the natural sentence, the acquired natural sentence is subjected to analysis processing such as morphological analysis and predicate argument structure analysis. Is converted (normalized) to the rule information in the preset format.

具体的には、ステップA2において、正規化部21は、自然文が「添付ファイルを開いた場合(前提部)、マルウェアWが活動する(帰結部)」である場合、上述した「exists(″添付ファイル″) =>act(″マルウェアW″)」のような形式の規則情報が生成される。なお、規則情報の形式は上述した形式に限定されるものではない。 Specifically, in step A2, when the natural sentence is "when the attached file is opened (premise part), the malware W is active (result part)", the normalization unit 21 described above "exists (" Rule information in the form of "attached file") => act ("malware W") "is generated. The format of the rule information is not limited to the above-mentioned format.

ステップA3において、表現拡張部22が、正規化された規則情報の前提部及び帰結部の表現を、含意表現辞書情報及び同義表現辞書情報などを用いた表現拡張処理を適用して、規則情報の表現を拡張する。具体的には、ステップA3において、表現拡張部22は、特開2016-164708号公報に開示の技術を用いて、規則情報の表現を拡張する。 In step A3, the expression extension unit 22 applies the expression extension process using the implied expression dictionary information, the synonymous expression dictionary information, and the like to the expressions of the premise part and the consequent part of the normalized rule information to obtain the rule information. Extend the expression. Specifically, in step A3, the expression extension unit 22 extends the expression of the rule information by using the technique disclosed in Japanese Patent Application Laid-Open No. 2016-164708.

ステップA4において、取得部2が、自然文に対して正規化及び表現拡張を適用して求めた規則情報、又は、既に正規化済みの規則情報を用いて、複数の事象関係情報を有する事象関係辞書情報を参照し、事象経路の構築に用いる事象関係情報を取得する。 In step A4, the event relationship having a plurality of event relationship information by the acquisition unit 2 using the rule information obtained by applying normalization and expression extension to the natural sentence or the rule information that has already been normalized. Refer to the dictionary information and acquire the event-related information used to construct the event path.

具体的には、ステップA4において、取得部2は、図3に示すように、規則情報31を用いて、事象関係辞書情報32を参照し、規則情報31の前件情報と一致する始点となる前部事象情報(″添付ファイル″)と、規則情報31の後件情報(″マルウェアW″)と一致する終点となる後部事象情報を有する事象関係情報とを取得する。例えば、「″添付ファイル″ <hasInstance>″ Hoge.docx″」「″添付ファイル″ <hasInstance>″ Hoge.xlsx″」、及び「″fuga.com″ <isIndicationOf> ″マルウェアW″」を取得する。 Specifically, in step A4, as shown in FIG. 3, the acquisition unit 2 refers to the event-related dictionary information 32 using the rule information 31, and becomes a starting point that matches the consequent information of the rule information 31. The front event information ("attached file") and the event-related information having the rear event information at the end point that matches the consequent information ("malware W") of the rule information 31 are acquired. For example, get "" Attachment "<hasInstance>" Hoge.docx "", "" Attachment "<hasInstance>" Hoge.xlsx "", and "" fuga.com "<isIndicationOf>" Malware W "".

続いて、取得部2は、取得した始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報を用いて、事象関係辞書情報32を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報を取得する。 Subsequently, the acquisition unit 2 refers to the event-related dictionary information 32 by using the rear event information possessed by each of the event-related information having the front event information as the acquired start point, and the front portion that matches the rear event information. Acquire new event-related information having event information.

具体的には、ステップA4において、取得部2は、始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報「″Hoge.docx″」「″Hoge.xlsx″」と一致する前部事象情報を有する事象関係情報を事象関係辞書情報32から取得する。例えば、「″Hoge.docx″ <p:drop> ″tasksche.exe″」「″Hoge.xlsx″ <p:drop> ″eviltask.exe″」を取得する。 Specifically, in step A4, before the acquisition unit 2 matches the rear event information "" Hoge.docx "" and "" Hoge.xlsx "" of each of the event-related information having the front event information as the starting point. Part Event-related information having event information is acquired from the event-related dictionary information 32. For example, get "" Hoge.docx "<p: drop>" tasksche.exe "" and "" Hoge.xlsx "<p: drop>" eviltask.exe "".

続いて、取得部2は、取得した事象関係情報の後部事象情報を用いて、事象関係辞書情報32を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す。 Subsequently, the acquisition unit 2 refers to the event-relationship dictionary information 32 by using the rear-end event information of the acquired event-relationship information, and acquires new event-related information having the front-end event information that matches the rear-end event information. Repeat until no more.

具体的には、ステップA4において、取得部2は、取得した事象関係情報の後部事象情報「″tasksche.exe″」「″eviltask.exe″」を用いて、事象関係辞書情報32を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す。すなわち、取得部2は、「″fuga.com″ <isIndicationOf> ″マルウェアW″」「″malware.com″<isIndicationOf> ″マルウェアZ″」を取得する。 Specifically, in step A4, the acquisition unit 2 refers to the event-related dictionary information 32 by using the rear event information "" tasksche.exe "" and "" eviltask.exe "" of the acquired event-related information. This is repeated until new event-related information having front event information that matches the rear event information is no longer acquired. That is, the acquisition unit 2 acquires "" fuga.com "<isIndicationOf>" malware W "" and "" malware.com "<isIndicationOf>" malware Z "".

続いて、ステップA4において、取得部2は、図3の33に示す(1)から(8)に示す順に事象経路を検出する。すなわち、前件情報と一致する始点となる前部事象情報「″添付ファイル″」から、後件情報と一致する終点となる後部事象情報「″マルウェアW″」に至る事象経路の構築に用いる、事象関係情報を取得する。 Subsequently, in step A4, the acquisition unit 2 detects the event route in the order shown in (1) to (8) shown in 33 of FIG. That is, it is used to construct an event path from the front event information "" attachment "" which is the starting point that matches the antecedent information to the rear event information "" malware W "" which is the ending point that matches the consequent information. Acquire event-related information.

図6は、事象経路のイメージを示す図である。図6に示す事象経路情報61は、上述した図3の33に示す(1)から(8)に示す順に構築された事象経路である。また、事象経路情報62は、前件情報と一致する始点となる前部事象情報「″添付ファイル″」から、終点となる後部事象情報「″マルウェアZ″」に至る事象経路である。しかし、事象経路情報62は、後部事象情報「″マルウェアW″」に至らないので採用されない。 FIG. 6 is a diagram showing an image of the event path. The event route information 61 shown in FIG. 6 is an event route constructed in the order shown in (1) to (8) shown in 33 of FIG. 3 described above. Further, the event route information 62 is an event route from the front event information "" attachment "" which is the starting point corresponding to the antecedent information to the rear event information "" malware Z "" which is the ending point. However, the event route information 62 is not adopted because it does not reach the rear event information "" malware W "".

ステップA5において、論理変換部23が、ステップA4で取得した、事象関係情報それぞれに含まれる関係名情報に設定されている変換に基づいて、当該事象関係情報を所定の形式に変換する。具体的には、ステップA5において、論理変換部23は、図3に示す事象経路の構築に用いる事象関係情報(図3の34)に対して、図4に示す変換情報41を適用して、図4に示す42のように所定の形式に変換する。なお、定義されていない関係については、論理式への変換ができないため、不要と見做す。 In step A5, the logical conversion unit 23 converts the event-related information into a predetermined format based on the conversion set in the relationship name information included in each of the event-related information acquired in step A4. Specifically, in step A5, the logical conversion unit 23 applies the conversion information 41 shown in FIG. 4 to the event-related information (34 in FIG. 3) used for constructing the event path shown in FIG. It is converted into a predetermined format as shown in FIG. 42. It should be noted that undefined relationships cannot be converted into logical expressions, so they are considered unnecessary.

ステップA6において、生成部3が、ステップA5で所定の形式に変換した事象関係情報(図4の42)のうち、規則情報31の後件情報と一致する終点となる後部事象情報「act(″マルウェアW″)」を有する事象関係情報以外の事象関係情報「exists(″Hoge.docx″)」「drop(″Hoge.docx″, ″tasksche.exe″)」「connect(″tasksche.exe″, ″fuga.com″)」を連結し、新たな前件情報を生成する。 In step A6, among the event-related information (42 in FIG. 4) converted into the predetermined format by the generation unit 3, the rear event information "act (" Event-related information other than event-related information with "malware W") "" exists ("Hoge.docx") "" drop ("Hoge.docx", "tasksche.exe") "" connect ("tasksche.exe", " "Fuga.com") "is concatenated to generate new consequent information.

具体的には、新たな前件情報は、図4の42に示すように前件情報(前提部)「exists(″Hoge.docx″)^drop(″Hoge.docx″, ″tasksche.exe″)^connect(″tasksche.exe″, ″fuga.com″)」を生成する。なお、ステップA6において、生成部3は、後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報それぞれの連結を、論理積「^」を用いて行う。 Specifically, the new antecedent information is the antecedent information (premise part) "exists (" Hoge.docx ") ^ drop (" Hoge.docx "," tasksche.exe "" as shown in 42 of FIG. ) ^ Connect ("tasksche.exe", "fuga.com") "is generated. In step A6, the generation unit 3 concatenates the event-related information other than the event-related information having the rear event information that is the end point that matches the consequent information by using the logical product “^”.

ステップA7では、生成部3は、新たに生成した前件情報を用いて、新たな規則情報(推論規則)を生成する。具体的には、図4の42に示すような規則情報「exists(″Hoge.docx″)^drop(″Hoge.docx″, ″tasksche.exe″)^connect(″tasksche.exe″, ″fuga.com″)=>act(″マルウェアW″)」を生成する。 In step A7, the generation unit 3 generates new rule information (inference rule) using the newly generated antecedent information. Specifically, the rule information “exists (″ Hoge.docx ″) ^ drop (″ Hoge.docx ″, ″ tasksche.exe ″) ^ connect (″ tasksche.exe ″, ″ fuga ″, as shown in FIG. Generate .com ″) => act (″ malware W ″) ”.

[本実施の形態の効果]
以上のように本実施の形態によれば、対象の規則情報を用いて事象関係情報より取得した、事象経路を構築するために用いる前部事象情報、関係名情報、後部事象情報に基づいて、新たな前件情報を生成することで、前提部が帰結部を導くための十分条件を満たした、質の高い推論規則を、効率よく生成することができる。
[Effect of this embodiment]
As described above, according to the present embodiment, based on the front event information, the relation name information, and the rear event information used for constructing the event path, which are acquired from the event relation information using the target rule information. By generating new previous information, it is possible to efficiently generate high-quality inference rules that satisfy the sufficient conditions for the premise part to derive the consequent part.

また、様々な形式の情報源と、対象分野に特化したオントロジを組み合わせることで、入力として不完全な規則情報を拡張、修正し、前提部が充足した推論規則を網羅的かつ継続的に構築することができる。 In addition, by combining various types of information sources and ontology specialized in the target field, incomplete rule information is expanded and corrected as input, and inference rules that satisfy the premise part are comprehensively and continuously constructed. can do.

更に、継続的に推論規則が蓄積されることで、新たに観測された事象に対しても、より多くの規則が適用され、それによる適切な仮説立案が可能になる効果がある。 Furthermore, by continuously accumulating inference rules, more rules are applied to newly observed events, which has the effect of enabling appropriate hypothesis formulation.

なお、推論規則の前件情報を詳細化することで、成り立つ仮説を絞れるので、計算コストが下がり、仮説を保持するメモリの量も少なくできる。 By refining the antecedent information of the inference rule, the hypothesis that holds can be narrowed down, so that the calculation cost can be reduced and the amount of memory for holding the hypothesis can be reduced.

また、前件情報を構成する述語が少ない曖昧な推論規則ばかりだと、推論規則が過剰に適用されやすくなるため、観測された事象から、確度の低い仮説も含めて大量の仮説が生成されてしまい、データが足りなさすぎても検証不能に成り易い場合が多い。しかし、本実施の形態によれば、無駄な計算コストを削減できる。 In addition, if there are only ambiguous inference rules with few predicates that make up the previous information, the inference rules are likely to be applied excessively, so a large number of hypotheses, including hypotheses with low accuracy, are generated from the observed events. In many cases, even if there is not enough data, it tends to be unverifiable. However, according to the present embodiment, unnecessary calculation cost can be reduced.

[プログラム]
本発明の実施の形態におけるプログラムは、コンピュータに、図5に示すステップA1からA7を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における推論規則生成支援装置と推論規則生成支援方法とを実現することができる。この場合、コンピュータのプロセッサは、正規化部21、表現拡張部22、取得部2、論理変換部23、生成部3として機能し、処理を行なう。
[program]
The program according to the embodiment of the present invention may be any program that causes a computer to execute steps A1 to A7 shown in FIG. By installing this program on a computer and executing it, the inference rule generation support device and the inference rule generation support method according to the present embodiment can be realized. In this case, the computer processor functions as a normalization unit 21, an expression extension unit 22, an acquisition unit 2, a logic conversion unit 23, and a generation unit 3 to perform processing.

また、本実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、正規化部21、表現拡張部22、取得部2、論理変換部23、生成部3のいずれかとして機能してもよい。 Further, the program in the present embodiment may be executed by a computer system constructed by a plurality of computers. In this case, for example, each computer may function as any of the normalization unit 21, the expression extension unit 22, the acquisition unit 2, the logic conversion unit 23, and the generation unit 3, respectively.

[物理構成]
ここで、実施の形態におけるプログラムを実行することによって、推論規則生成支援装置を実現するコンピュータについて図7を用いて説明する。図7は、推論規則生成支援装置を実現するコンピュータの一例を示す図である。
[Physical configuration]
Here, a computer that realizes an inference rule generation support device by executing the program in the embodiment will be described with reference to FIG. 7. FIG. 7 is a diagram showing an example of a computer that realizes an inference rule generation support device.

図7に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていてもよい。 As shown in FIG. 7, the computer 110 includes a CPU 111, a main memory 112, a storage device 113, an input interface 114, a display controller 115, a data reader / writer 116, and a communication interface 117. Each of these parts is connected to each other via a bus 121 so as to be capable of data communication. The computer 110 may include a GPU (Graphics Processing Unit) or an FPGA (Field-Programmable Gate Array) in addition to the CPU 111 or in place of the CPU 111.

CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであってもよい。 The CPU 111 expands the programs (codes) of the present embodiment stored in the storage device 113 into the main memory 112 and executes them in a predetermined order to perform various operations. The main memory 112 is typically a volatile storage device such as a DRAM (Dynamic Random Access Memory). Further, the program according to the present embodiment is provided in a state of being stored in a computer-readable recording medium 120. The program in the present embodiment may be distributed on the Internet connected via the communication interface 117.

また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置があげられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。 Further, as a specific example of the storage device 113, in addition to the hard disk drive, a semiconductor storage device such as a flash memory can be mentioned. The input interface 114 mediates data transmission between the CPU 111 and an input device 118 such as a keyboard and mouse. The display controller 115 is connected to the display device 119 and controls the display on the display device 119.

データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。 The data reader / writer 116 mediates data transmission between the CPU 111 and the recording medium 120, reads a program from the recording medium 120, and writes a processing result in the computer 110 to the recording medium 120. The communication interface 117 mediates data transmission between the CPU 111 and another computer.

また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体があげられる。 Specific examples of the recording medium 120 include a general-purpose semiconductor storage device such as CF (Compact Flash (registered trademark)) and SD (Secure Digital), a magnetic recording medium such as a flexible disk, or a CD-. Examples include optical recording media such as ROM (Compact Disk Read Only Memory).

[付記]
以上の実施の形態に関し、更に以下の付記を開示する。上述した実施の形態の一部又は全部は、以下に記載する(付記1)から(付記15)により表現することができるが、以下の記載に限定されるものではない。
[Additional Notes]
The following additional notes will be further disclosed with respect to the above embodiments. A part or all of the above-described embodiments can be expressed by the following descriptions (Appendix 1) to (Appendix 15), but the present invention is not limited to the following description.

(付記1)
前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、取得部と
取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、生成部と、
を有する推論規則生成支援装置。
(Appendix 1)
Event-related dictionary information composed of a plurality of event-related information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the preceding information and the following information. To obtain the event-related information to be used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. A generation unit that generates the previous event information by concatenating the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent event information among the acquired event-related information. When,
Inference rule generation support device with.

(付記2)
付記1に記載の推論規則生成支援装置であって、
前記規則情報を用いて、前記事象関係辞書情報を参照し、前記規則情報の前記前件情報と一致する始点となる前部事象情報を有する事象関係情報と、前記規則情報の前記後件情報と一致する終点となる後部事象情報を有する事象関係情報とを取得する、第一の取得部と、
取得した前記始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報を取得する、第二の取得部と、
取得した前記事象関係情報の後部事象情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す、第三の取得部と、を有する
ことを特徴とする推論規則生成支援装置。
(Appendix 2)
The inference rule generation support device described in Appendix 1.
Using the rule information, the event-related dictionary information is referred to, and event-related information having a front event information that is a starting point that matches the previous-case information of the rule information, and the subsequent-case information of the rule information. The first acquisition unit that acquires the event-related information having the rear event information that is the end point that coincides with
Using the acquired rear event information having each event-related information having the front event information as the starting point, the event-related dictionary information is referred to, and a new front event information having the same front event information as the rear event information is obtained. The second acquisition unit that acquires event-related information,
Using the acquired rear event information, the event relation dictionary information is referred to, and the process is repeated until new event relation information having the front event information matching the rear event information is not acquired. An inference rule generation support device characterized by having a third acquisition unit.

(付記3)
付記2に記載の推論規則生成支援装置であって、
前記第一から第三の取得部により取得した、前記事象関係情報それぞれに含まれる前記関係名情報に設定されている論理変換に基づいて、当該事象関係情報を所定の形式に論理変換する、論理変換部を有する
ことを特徴とする推論規則生成支援装置。
(Appendix 3)
The inference rule generation support device described in Appendix 2, which is the inference rule generation support device.
Based on the logical conversion set in the relationship name information included in each of the event-related information acquired by the first to third acquisition units, the event-related information is logically converted into a predetermined format. An inference rule generation support device characterized by having a logic conversion unit.

(付記4)
付記3に記載の推論規則生成支援装置であって、
前記取得部は、前記論理変換した前記事象関係情報を用いて、前記前件情報と一致する始点となる前部事象情報から前記後件情報と一致する終点となる後部事象情報に至る前記事象経路を表す事象経路情報を生成する
ことを特徴とする推論規則生成支援装置。
(Appendix 4)
The inference rule generation support device described in Appendix 3, which is the inference rule generation support device.
The acquisition unit uses the logically converted event-related information to reach the rear event information that is the start point that matches the consequent information to the rear event information that is the end point that matches the consequent information. An inference rule generation support device characterized by generating event route information representing an elephant route.

(付記5)
付記1から4のいずれか一つに記載の推論規則生成支援装置であって、
前記生成部は、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報それぞれの連結を、論理積を用いて行う
ことを特徴とする推論規則生成支援装置。
(Appendix 5)
The inference rule generation support device according to any one of Appendix 1 to 4.
The generation unit is an inference rule generation support device that concatenates event-related information other than event-related information having rear event information that is an end point that matches the consequent information by using a logical product.

(付記6)
(a)前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、ステップと
(b)取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、ステップと、
を有する推論規則生成支援方法。
(Appendix 6)
(A) An event relationship composed of a plurality of event relationship information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the preceding information and the following information. Referencing the dictionary information, the event-related information used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. Of the steps to be acquired and (b) the acquired event-related information, the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent information is concatenated to obtain the previous event information. Generate, step and
Inference rule generation support method with.

(付記7)
付記6に記載の推論規則生成支援方法であって、
(c)前記規則情報を用いて、前記事象関係辞書情報を参照し、前記規則情報の前記前件情報と一致する始点となる前部事象情報を有する事象関係情報と、前記規則情報の前記後件情報と一致する終点となる後部事象情報を有する事象関係情報とを取得する、ステップと、
(d)取得した前記始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する事象関係情報を取得する、ステップと、
(e)取得した前記事象関係情報の後件情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す、ステップとを有する
ことを特徴とする推論規則生成支援方法。
(Appendix 7)
The inference rule generation support method described in Appendix 6
(C) Using the rule information, the event-related dictionary information is referred to, and the event-related information having the front event information that is the starting point that matches the preceding information of the rule information, and the above-mentioned rule information. The step of acquiring the event-related information having the rear event information that is the end point that matches the subsequent information,
(D) Using the acquired event-related information having the front event information as the starting point, the event-related dictionary information is referred to, and the front event information that matches the rear event information is obtained. Steps to acquire event-related information that you have,
(E) Using the acquired consequent information of the event-related information, the event-related dictionary information is referred to, and new event-related information having the front event information that matches the rear event information is not acquired. An inference rule generation support method characterized by having steps and steps that repeat up to.

(付記8)
付記7に記載の推論規則生成支援方法であって、
(f)前記(c)から(e)のステップにおいて取得した、前記事象関係情報それぞれに含まれる前記関係名情報に設定されている論理変換に基づいて、前記事象関係情報を所定の形式に論理変換する、ステップを有する
ことを特徴とする推論規則生成支援方法。
(Appendix 8)
The inference rule generation support method described in Appendix 7.
(F) Based on the logical conversion set in the relationship name information included in each of the event-related information acquired in the steps (c) to (e), the event-related information is stored in a predetermined format. An inference rule generation support method characterized by having a step that logically transforms into.

(付記9)
付記8に記載の推論規則生成支援方法であって、
前記(a)のステップにおいて、前記論理変換した前記事象関係情報を用いて、前記前件情報と一致する始点となる前部事象情報から前記後件情報と一致する終点となる後部事象情報に至る事象経路を表す事象経路情報を生成する
ことを特徴とする推論規則生成支援方法。
(Appendix 9)
The inference rule generation support method described in Appendix 8.
In the step (a), the logically converted event-related information is used to change from the front event information that is the start point that matches the antecedent information to the rear event information that is the end point that matches the consequent information. An inference rule generation support method characterized by generating event route information representing an event route to reach.

(付記10)
付記6から9のいずれか一つに記載の推論規則生成支援方法であって、
前記(b)のステップにおいて、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の前記事象関係情報それぞれの連結は、論理積を用いて行う
ことを特徴とする推論規則生成支援方法。
(Appendix 10)
The inference rule generation support method described in any one of Appendix 6 to 9.
Inference characterized in that, in the step (b), the concatenation of the event-related information other than the event-related information having the rear event information which is the end point matching the consequent information is performed by using a logical product. Rule generation support method.

(付記11)
コンピュータに、
(a)前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、ステップと
(b)取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、ステップと、
を実行させるプログラム。
(Appendix 11)
On the computer
(A) An event relationship composed of a plurality of event relationship information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the preceding information and the following information. Referencing the dictionary information, the event-related information used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. Of the steps to be acquired and (b) the acquired event-related information, the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent information is concatenated to obtain the previous event information. Generate, step and
A program that executes.

(付記12)
付記11に記載のプログラムであって、
前記コンピュータに、
(c)前記規則情報を用いて、前記事象関係辞書情報を参照し、前記規則情報の前記前件情報と一致する始点となる前部事象情報を有する事象関係情報と、前記規則情報の前記後件情報と一致する終点となる後部事象情報を有する事象関係情報とを取得する、ステップと、
(d)取得した前記始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する事象関係情報を取得する、ステップと、
(e)取得した前記事象関係情報の後件情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す、ステップとを実行させる
ことを特徴とするプログラム。
(Appendix 12)
The program described in Appendix 11
On the computer
(C) Using the rule information, the event-related dictionary information is referred to, and the event-related information having the front event information that is the starting point that matches the preceding information of the rule information, and the above-mentioned rule information. The step of acquiring the event-related information having the rear event information that is the end point that matches the subsequent information,
(D) Using the acquired event-related information having the front event information as the starting point, the event-related dictionary information is referred to, and the front event information that matches the rear event information is obtained. Steps to acquire event-related information that you have,
(E) Using the acquired consequent information of the event-related information, the event-related dictionary information is referred to, and new event-related information having the front event information that matches the rear event information is not acquired. A program characterized by executing steps and steps that repeat up to.

(付記13)
付記12に記載のプログラムであって、
前記コンピュータに、
(f)前記(c)から(e)のステップにおいて取得した、前記事象関係情報それぞれに含まれる前記関係名情報に設定されている論理変換に基づいて、前記事象関係情報を所定の形式に論理変換する、ステップを実行させる
ことを特徴とするプログラム。
(Appendix 13)
The program described in Appendix 12
On the computer
(F) Based on the logical conversion set in the relationship name information included in each of the event-related information acquired in the steps (c) to (e), the event-related information is stored in a predetermined format. A program characterized by executing steps that logically convert to.

(付記14)
付記13に記載のプログラムであって、
前記(a)のステップにおいて、前記論理変換した前記事象関係情報を用いて、前記前件情報と一致する始点となる前部事象情報から前記後件情報と一致する終点となる後部事象情報に至る事象経路を表す事象経路情報を生成する
ことを特徴とするプログラム。
(Appendix 14)
The program described in Appendix 13
In the step (a), the logically converted event-related information is used to change from the front event information that is the start point that matches the antecedent information to the rear event information that is the end point that matches the consequent information. A program characterized by generating event route information representing an event route to reach.

(付記15)
付記11から14のいずれか一つに記載のプログラムであって、
前記(b)のステップにおいて、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の前記事象関係情報それぞれの連結は、論理積を用いて行う
ことを特徴とするプログラム。
(Appendix 15)
The program described in any one of Appendix 11 to 14.
In the step (b), the program is characterized in that the connection of each of the event-related information other than the event-related information having the rear event information which is the end point corresponding to the consequent information is performed by using a logical product. Mu.

以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。 Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made within the scope of the present invention in terms of the structure and details of the present invention.

以上のように本発明によれば、対象の規則情報を用いて事象関係情報より取得した、事象経路を構築するために用いる前部事象情報、関係名情報、後部事象情報に基づいて、新たな前件情報を生成することで、前提部が帰結部を導くための十分条件を満たした、質の高い推論規則を、効率よく生成することができる。本発明は、質の高い推論規則を必要とする分野において有用である。 As described above, according to the present invention, a new method is obtained based on the front event information, the relationship name information, and the rear event information used for constructing the event path, which are acquired from the event relationship information using the target rule information. By generating the previous information, it is possible to efficiently generate a high-quality inference rule that satisfies the sufficient conditions for the premise part to derive the consequent part. The present invention is useful in fields that require high quality inference rules.

1 推論規則生成支援装置
2 取得部
3 生成部
20 記憶部
21 正規化部
22 表現拡張部
23 論理変換部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
1 Inference rule generation support device 2 Acquisition unit 3 Generation unit 20 Storage unit 21 Normalization unit 22 Expression expansion unit 23 Logical conversion unit 110 Computer 111 CPU
112 Main memory 113 Storage device 114 Input interface 115 Display controller 116 Data reader / writer 117 Communication interface 118 Input device 119 Display device 120 Recording medium 121 Bus

Claims (10)

前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報を有する事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、取得手段と
取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、生成手段と、
前記事象関係情報それぞれに含まれる前記関係名情報に設定されている論理変換に基づいて、当該事象関係情報を所定の形式に変換する、論理変換手段と、
を有する推論規則生成支援装置。
Using the rule information indicating the rule relationship between the preceding information and the following information, refer to the event relationship dictionary information having a plurality of event relationship information in which the front event information and the rear event information are associated with each other by the relationship name information. , An acquisition means for acquiring the event-related information used for constructing an event path from the front event information that is the start point that matches the preceding information to the rear event information that is the end point that matches the subsequent information. Among the acquired event-related information, the generation means for generating the preceding event information by concatenating the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent event information.
A logical conversion means for converting the event-related information into a predetermined format based on the logical conversion set in the relationship name information included in each of the event-related information.
Inference rule generation support device with.
請求項1に記載の推論規則生成支援装置であって、
前記規則情報を用いて、前記事象関係辞書情報を参照し、前記規則情報の前記前件情報と一致する始点となる前部事象情報を有する事象関係情報と、前記規則情報の前記後件情報と一致する終点となる後部事象情報を有する事象関係情報とを取得する、第一の取得手段と、
取得した前記始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報を取得する、第二の取得手段と、
取得した前記事象関係情報の後部事象情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す、第三の取得手段と、を有する
ことを特徴とする推論規則生成支援装置。
The inference rule generation support device according to claim 1.
Using the rule information, the event-related dictionary information is referred to, and event-related information having a front event information that is a starting point that matches the previous-case information of the rule information, and the subsequent-case information of the rule information. The first acquisition means for acquiring the event-related information having the rear event information that is the end point that coincides with
Using the acquired rear event information having each event-related information having the front event information as the starting point, the event-related dictionary information is referred to, and a new front event information having the same front event information as the rear event information is obtained. A second acquisition method for acquiring event-related information,
Using the acquired rear event information, the event relation dictionary information is referred to, and the process is repeated until new event relation information having the front event information matching the rear event information is not acquired. An inference rule generation support device characterized by having a third acquisition means.
請求項2に記載の推論規則生成支援装置であって、
前記論理変換手段は、前記第一から第三の取得手段により取得した、前記事象関係情報それぞれに含まれる前記関係名情報に設定されている前記論理変換に基づいて、当該事象関係情報を所定の形式に変換する
ことを特徴とする推論規則生成支援装置。
The inference rule generation support device according to claim 2.
The logical conversion means determines the event-related information based on the logical conversion set in the relationship name information included in each of the event-related information acquired by the first to third acquisition means. An inference rule generation support device characterized by converting to the format of.
請求項3に記載の推論規則生成支援装置であって、
前記取得手段は、前記論理変換した前記事象関係情報を用いて、前記前件情報と一致する始点となる前部事象情報から前記後件情報と一致する終点となる後部事象情報に至る前記事象経路を表す事象経路情報を生成する
ことを特徴とする推論規則生成支援装置。
The inference rule generation support device according to claim 3.
The acquisition means uses the logically converted event-related information to reach the rear event information that is the end point that matches the consequent information from the front event information that is the start point that matches the consequent information. An inference rule generation support device characterized by generating event route information representing an elephant route.
請求項1から4のいずれか一つに記載の推論規則生成支援装置であって、
前記生成手段は、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報それぞれの連結を、論理積を用いて行う
ことを特徴とする推論規則生成支援装置。
The inference rule generation support device according to any one of claims 1 to 4.
The generation means is an inference rule generation support device characterized in that each of event-related information other than event-related information having rear event information that is an end point that matches the consequent information is concatenated by using a logical product.
コンピュータが、
(a)前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、ステップと
(b)取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、ステップと、
(c)前記事象関係情報それぞれに含まれる前記関係名情報に設定されている論理変換に基づいて、当該事象関係情報を所定の形式に変換する、ステップと、
実行する推論規則生成支援方法。
The computer
(A) An event relationship composed of a plurality of event relationship information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the previous case information and the subsequent case information. Referencing the dictionary information, the event-related information used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. Get, step and
(B) Among the acquired event-related information, the step of generating the antecedent information by concatenating the event-related information other than the event-related information having the rear event information that is the end point that matches the consequent information. ,
(C) A step of converting the event-related information into a predetermined format based on the logical conversion set in the relationship name information included in each of the event-related information.
ofexecutionInference rule generation support method.
コンピュータに、
(a)前件情報と後件情報との規則関係を表す規則情報を用いて、関係名情報により前部事象情報と後部事象情報とが関連付けられた複数の事象関係情報から構成される事象関係辞書情報を参照し、前記前件情報と一致する始点となる前部事象情報から、前記後件情報と一致する終点となる後部事象情報に至る事象経路の構築に用いる、前記事象関係情報を取得する、ステップと
(b)取得した前記事象関係情報のうち、前記後件情報と一致する終点となる後部事象情報を有する事象関係情報以外の事象関係情報を連結して、前件情報を生成する、ステップと、
(f)前記事象関係情報それぞれに含まれる前記関係名情報に設定されている論理変換に基づいて、当該事象関係情報を所定の形式に変換する、ステップと、
を実行させるプログラム。
On the computer
(A) An event relationship composed of a plurality of event relationship information in which the front event information and the rear event information are associated with each other by the relationship name information using the rule information representing the rule relationship between the preceding information and the following information. Referencing the dictionary information, the event-related information used for constructing an event path from the front event information that is the starting point that matches the preceding information to the rear event information that is the ending point that matches the following information. Of the steps to be acquired and (b) the acquired event-related information, the event-related information other than the event-related information having the rear event information that is the end point that matches the subsequent information is concatenated to obtain the previous event information. Generate, step and
(F) A step of converting the event-related information into a predetermined format based on the logical conversion set in the relationship name information included in each of the event-related information.
A program that executes.
請求項7に記載のプログラムであって、
前記コンピュータに、
(c)前記規則情報を用いて、前記事象関係辞書情報を参照し、前記規則情報の前記前件情報と一致する始点となる前部事象情報を有する事象関係情報と、前記規則情報の前記後件情報と一致する終点となる後部事象情報を有する事象関係情報とを取得する、ステップと、
(d)取得した前記始点となる前部事象情報を有する事象関係情報それぞれが有する後部事象情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する事象関係情報を取得する、ステップと、
(e)取得した前記事象関係情報の後件情報を用いて、前記事象関係辞書情報を参照し、当該後部事象情報と一致する前部事象情報を有する新たな事象関係情報が取得されなくなるまで繰り返す、ステップとを実行させる
ことを特徴とするプログラム。
The program according to claim 7.
On the computer
(C) Using the rule information, the event-related dictionary information is referred to, and the event-related information having the front event information that is the starting point that matches the preceding information of the rule information, and the above-mentioned rule information. The step of acquiring the event-related information having the rear event information that is the end point that matches the subsequent information,
(D) Using the acquired event-related information having the front event information as the starting point, the event-related dictionary information is referred to, and the front event information that matches the rear event information is obtained. Steps to acquire event-related information that you have,
(E) Using the acquired consequent information of the event-related information, the event-related dictionary information is referred to, and new event-related information having the front event information that matches the rear event information is not acquired. A program characterized by executing steps and steps that repeat up to.
請求項8に記載のプログラムであって、
前記(f)のステップにおいて、前記(c)から(e)のステップにおいて取得した、前記事象関係情報それぞれに含まれる前記関係名情報に設定されている前記論理変換に基づいて、前記事象関係情報を所定の形式に変換させる
ことを特徴とするプログラム。
The program according to claim 8.
In the step (f), the event is based on the logical conversion set in the relation name information included in each of the event relation information acquired in the steps (c) to (e). A program characterized by converting related information into a predetermined format.
請求項9に記載のプログラムであって、
前記(a)のステップにおいて、前記論理変換した前記事象関係情報を用いて、前記前件情報と一致する始点となる前部事象情報から前記後件情報と一致する終点となる後部事象情報に至る事象経路を表す事象経路情報を生成する
ことを特徴とするプログラム。
The program according to claim 9.
In the step (a), the logically converted event-related information is used to change from the front event information that is the start point that matches the antecedent information to the rear event information that is the end point that matches the consequent information. A program characterized by generating event route information representing an event route to reach.
JP2020533975A 2018-08-01 2018-08-01 Inference rule generation support device, inference rule generation support method, and program Active JP7104376B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/028936 WO2020026388A1 (en) 2018-08-01 2018-08-01 Inference rule generation supporting device, inference rule generation supporting method and computer-readable recording medium

Publications (2)

Publication Number Publication Date
JPWO2020026388A1 JPWO2020026388A1 (en) 2021-05-13
JP7104376B2 true JP7104376B2 (en) 2022-07-21

Family

ID=69231566

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020533975A Active JP7104376B2 (en) 2018-08-01 2018-08-01 Inference rule generation support device, inference rule generation support method, and program

Country Status (2)

Country Link
JP (1) JP7104376B2 (en)
WO (1) WO2020026388A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022079920A1 (en) * 2020-10-16 2022-04-21 日本電信電話株式会社 Inference device, inference method, and inference program

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001209647A (en) 2000-01-25 2001-08-03 Atr Ningen Joho Tsushin Kenkyusho:Kk Information retrieval apparatus, information retrieval method, and recording medium recording information retrieval processing program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1055277A (en) * 1996-08-09 1998-02-24 Fuji Xerox Co Ltd Fault analysis instance storage device
US20180314951A1 (en) * 2015-11-10 2018-11-01 Nec Corporation Reasoning system, reasoning method, and recording medium

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001209647A (en) 2000-01-25 2001-08-03 Atr Ningen Joho Tsushin Kenkyusho:Kk Information retrieval apparatus, information retrieval method, and recording medium recording information retrieval processing program

Also Published As

Publication number Publication date
WO2020026388A1 (en) 2020-02-06
JPWO2020026388A1 (en) 2021-05-13

Similar Documents

Publication Publication Date Title
US8762132B2 (en) Textual entailment recognition apparatus, textual entailment recognition method, and computer-readable recording medium
US10545999B2 (en) Building features and indexing for knowledge-based matching
US20190171692A1 (en) Adapting tabular data for narration
US12536297B2 (en) Analysis condition generating apparatus, analysis system, analysis condition generating program, analysis program, analysis condition generating method, and analysis method
US11074278B2 (en) Methods for performing a search and devices thereof
CN114598526B (en) Structured query language injection detection method
WO2025115162A1 (en) Information complementing device and information complementing method
Lim et al. Test case information extraction from requirements specifications using NLP-based unified boilerplate approach
WO2025260856A1 (en) Information processing method and apparatus, device and medium
US20180150451A1 (en) Contextual Analogy Response
JP7104376B2 (en) Inference rule generation support device, inference rule generation support method, and program
Luh et al. SEQUIN: a grammar inference framework for analyzing malicious system behavior
Meyers et al. An automated post-mortem analysis of vulnerability relationships using natural language word embeddings
US12261864B2 (en) Information analyzing apparatus, information analyzing method, and computer-readable recording medium
US20240005098A1 (en) Method of using open-domain information for understanding context of temporal relation information
Gomez-Rodriguez Finding the smallest binarization of a CFG is NP-hard
WO2021171524A1 (en) Signature generation device, signature generation method, and signature generation program
CN111475403A (en) Dynamic generation method of test script and related device
JP7647994B2 (en) GENERATION APPARATUS, GENERATION METHOD, AND GENERATION PROGRAM
JP2015127913A (en) Document structure analysis method and device
JP2018106582A (en) Document generation device, method of producing document, and program
JP2025180694A (en) Peer review support device, peer review support program, peer review support method, and peer review support system
Li et al. Context-Free Grammar Inference for Complex Programming Languages in Black Box Settings
Simonetto et al. What Matters Most in Vulnerabilities? Key Term Extraction for CVE-to-CWE Mapping with LLMs
Mouiche Advancing Cybersecurity Through Intelligent Extraction Frameworks and Knowledge Graphs

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201110

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220502

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220608

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220621

R151 Written notification of patent or utility model registration

Ref document number: 7104376

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151