JP7595915B2 - Information analysis device and information analysis method - Google Patents
Information analysis device and information analysis method Download PDFInfo
- Publication number
- JP7595915B2 JP7595915B2 JP2020172800A JP2020172800A JP7595915B2 JP 7595915 B2 JP7595915 B2 JP 7595915B2 JP 2020172800 A JP2020172800 A JP 2020172800A JP 2020172800 A JP2020172800 A JP 2020172800A JP 7595915 B2 JP7595915 B2 JP 7595915B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- security
- index
- analysis
- phrase
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明の実施の形態は、情報分析装置及び情報分析方法に関する。 The present invention relates to an information analysis device and an information analysis method.
例えば非特許文献1には、情報源からサイバーセキュリティ関連の情報の収集し、収集された情報をデータベースに蓄積し、蓄積された情報を分析するような一連の処理を一貫して行うようなモノリシックな設計による技術が記載されている。分析とは例えば、IoC(Indicator of Compromise)間のつながりや複数のIoCからなるクラスタから意味を見出すことや、自然言語で記載されたサイバーセキュリティ関連の記事からIoC間の関連性をモデル化することを指す。
For example, Non-Patent
しかしながら非特許文献1に記載されたような従来の手法は、分析の結果に自然言語が紐づいておらず、使用者にとって分かりにくいという課題がある。また非特許文献1に記載されたような従来の手法は、サイバーセキュリティ関連の情報を蓄積したデータベースの検索速度については考慮されておらず、データベースに蓄積された情報が肥大化した際には検索速度が低下しやすくなる可能性があるという課題がある。さらに非特許文献1に記載されたような従来の手法は、モノリシックな設計を用いているため、拡張性や柔軟性が確保されにくく、処理を改良する場合にコストが高くなりやすいという課題がある。
However, the conventional method described in
本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することを目的とする。 One aspect of the embodiment of the present invention aims to provide an information analysis device that makes the analysis results easy for users to understand, is less likely to slow down search speed, and ensures scalability and flexibility.
脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置であって、セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する横断分析部と、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、を備える、情報分析装置を提供する。 An information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information on observed security threats, transmitted from a threat observation device, and usage example information, which is information on usage examples of security threats, and generates analysis result information, which is information resulting from the analysis, is provided, the information analysis device comprising: a publisher message receiving unit that receives the security-related information; a pre-processing unit that generates multiple types of index information for searching for security-related information from the threat information, and performs pre-processing to input entity information, which is threat information linked to the index information, into a database storage unit that stores a key-value database; a cross-sectional analysis unit that searches for other index information that is not linked to the entity information as an exact match search key, extracts associations between multiple types of index information, searches for the usage example information as an exact match search key, and generates analysis result information in which phrase information, which is a phrase in natural language stored in the index information as part of the usage example information, is linked to the index information; and a subscriber transmitting/receiving unit that transmits the analysis result information to a user terminal used by a user who analyzes the security-related information.
脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置によって実行される情報分析方法であって、セキュリティ関連情報を受信する第1のステップと、脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第2のステップと、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する第3のステップと、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第4のステップと、を備える、情報分析方法を提供する。 An information analysis method is provided which is executed by an information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information on observed security threats transmitted from a threat observation device, and usage example information, which is information on usage examples of security threats, and generates analysis result information, which is information resulting from the analysis, and which includes a first step of receiving the security-related information; a second step of performing preprocessing to generate multiple types of index information for searching the security-related information from the threat information and inputting entity information, which is threat information linked to the index information, into a database storage unit that stores a key-value database; a third step of searching other index information not linked to the entity information as an exact match search key to extract associations between the multiple types of index information, searching the usage example information as an exact match search key, and generating analysis result information in which phrase information, which is a phrase in natural language stored in the index information as part of the usage example information, is linked to the index information; and a fourth step of transmitting the analysis result information to a user terminal used by a user who analyzes the security-related information.
本発明の実施の形態の一態様によれば使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を実現できる。 According to one aspect of the embodiment of the present invention, it is possible to realize an information analysis device that makes the analysis results easy for the user to understand, is less likely to slow down the search speed, and ensures scalability and flexibility.
以下図面を用いて、本発明の実施の形態の一態様を詳述する。 One embodiment of the present invention will be described in detail below with reference to the drawings.
図1は、本実施の形態による情報分析装置1を含む情報分析システムの構成を示すブロック図である。情報分析システムは、情報分析装置1と、脅威観測装置2と、利用例列挙装置3と、使用者端末4とを備える。
FIG. 1 is a block diagram showing the configuration of an information analysis system including an
図1に示す情報分析システムにおいて、情報分析装置1は、脅威観測装置2から送信されるセキュリティに関しての脅威を観測した情報である脅威情報(以下、これをIoCと呼んでもよい)と、利用例列挙装置3から送信されるセキュリティに関しての脅威の利用例の情報である利用例情報と、を受信する。
In the information analysis system shown in FIG. 1, the
脅威情報と、利用例情報とを含むセキュリティに関する情報をセキュリティ関連情報と呼んでもよいものとする。情報分析装置1は、セキュリティ関連情報を受信すると、セキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成して、使用者端末4へと送信する。
Security-related information including threat information and usage example information may be referred to as security-related information. When the
脅威観測装置2は、1又は複数であって、例えば正規の通信を行わずに不正アクセスを受ける装置であるハニーポット装置やダークネットと呼ばれる未使用のIPアドレスを観測する装置であるダークネット観測装置などとする。
The
例えばハニーポット装置は、IPアドレスやファイルのハッシュ値を含む脅威情報を情報分析装置1に送信する。また例えばダークネット観測装置は、IPアドレスやドメイン名を含む脅威情報を情報分析装置1に送信する。
For example, a honeypot device transmits threat information including IP addresses and file hash values to the
利用例列挙装置3は、1又は複数であって、例えばMITREが戦術や手法にまとめられ、少数のマトリックスだけでなくSTIX(Structured Threat Informtion eXpression)/TAXII(Trusted Automated eXchange of Indicator Information)でも表現された既知の攻撃者の行動の構造化されたリストであるATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)を提供する装置であるATT&CK提供装置が挙げられる。
The use
また利用例列挙装置3として、記事の内容をRSSフィードから取得し、取得した記事の内容から自然言語によって記載された語句を抽出して提供する装置である記事抽出語句提供装置が挙げられる。
Another example of the usage
なお利用例情報は、脅威情報を含んでいるものとし、例えばATT&CK提供装置や記事抽出語句提供装置が情報分析装置1に送信する利用例情報には、IPアドレスやドメイン名やファイルのハッシュ値が含まれているものとする。
The usage example information includes threat information, and for example, the usage example information sent to the
使用者端末4は、1又は複数であって、情報分析装置1を使用してセキュリティ関連情報を分析する使用者が使用する端末であって、パーソナルコンピュータやタブレット端末やスマートフォンなどとする。なお使用者端末4は、脅威情報を集約したり集積したりする装置である脅威情報プラットフォーム提供装置や、セキュリティ関連情報を提供したりプログラム内で発生した動作や出来事であるイベントを管理したりするSIEM(Security Information and Event Management)装置であってもよい。
The
情報分析装置1は、パブリッシャーメッセージ受信部5と、前処理部6と、横断分析部7と、データベース記憶部8と、サブスクライバー送受信部9と、を備える。パブリッシャーメッセージ受信部5は、情報分析装置1にパブリッシャーである脅威観測装置2や利用例列挙装置3からのセキュリティ関連情報を受信する。セキュリティ関連情報が発行される都度ごとにパブリッシャーメッセージ受信部5はセキュリティ関連情報を受信する。
The
前処理部6は、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成する索引情報生成部10と、索引情報と紐づけられた脅威情報である実体情報をデータベース記憶部8に投入する実体情報投入部11と、を備える。
The preprocessing
横断分析部7は、関連抽出部12と、意味付け部13と、を備える。関連抽出部12は、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する。意味付け部13は、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する。
The
データベース記憶部8は、検索キーに値が紐づいたデータベースであるキーバリュー型データベースのキーバリューデータベースDB1を記憶する。キーバリューデータベースDB1においては、検索キーによって値が検索される。 The database storage unit 8 stores a key-value database DB1, which is a key-value type database in which values are associated with search keys. In the key-value database DB1, values are searched for using search keys.
サブスクライバー送受信部9は、サブスクライバーである使用者端末4に分析結果情報を送信する。なおサブスクライバー送受信部9は、使用者端末4から分析結果取得要求に含まれる要求された索引情報に関係する情報を要求された順序で送信してもよい。例えばパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は集積回路とする。
The subscriber transmission/
次に図2を用いてキーバリューデータベースDB1の概要について説明する。図2は、本実施の形態による情報分析装置1に記憶されるキーバリューデータベースDB1の概要を示す図である。キーバリューデータベースDB1は、キーバリューデータベースDB11~DB18を含む。
Next, an overview of the key-value database DB1 will be described with reference to FIG. 2. FIG. 2 is a diagram showing an overview of the key-value database DB1 stored in the
図2に示すように、検索キーは、1又は複数の索引情報及び語句情報の少なくとも1つから構成され並び順に処理される。また図2に示すように検索キーには具体値と総称値があり、検索キーは具体値の場合、複数種類の索引情報及び語句情報の間を紐づける。なお検索キーが総称値のみからなる場合、検索キーは目次の役割をするものとする。 As shown in Figure 2, a search key is composed of at least one or more index information and phrase information, and is processed in order. As also shown in Figure 2, a search key can have a specific value and a generic value, and when the search key is a specific value, it links multiple types of index information and phrase information. When the search key is composed only of a generic value, the search key serves as a table of contents.
例えば検索キーが「cure:pub:ip-index」の場合のキーバリューデータベースDB11においては、検索キーは、「cure」、「pub」、「ip-index」といった総称値のみからなる。総称値のみからなる検索キーと結びつく値は目次の役割をする。なお検索キーが「cure:pub:ip-index」の場合、値は「203.0.113.1」などといったIPアドレスとなる。 For example, in the key-value database DB11, when the search key is "cure:pub:ip-index", the search key consists only of generic values such as "cure", "pub", and "ip-index". The value associated with the search key consisting only of generic values acts as a table of contents. Note that when the search key is "cure:pub:ip-index", the value will be an IP address such as "203.0.113.1".
例えば検索キーが「cure:pub:ip:203.0.113.1」の場合のキーバリューデータベースDB12においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」といった総称値と「203.0.113.1」といった具体値からなる。 For example, in the key-value database DB12, when the search key is "cure:pub:ip:203.0.113.1", the search key consists of generic values such as "cure", "pub", and "ip" indicating an IP address, and a specific value such as "203.0.113.1".
検索キーが「cure:pub:ip:203.0.113.1」の場合、値は「timestamp:159356923,publisher_id:300,dst_ip:"203.0.113.1",dst_port:443,…,content:"SuspiciousFileDownload"」といった実体情報となる。IPアドレスの具体値である「203.0.113.1」が実体情報に結び付けられた索引情報となる。 If the search key is "cure:pub:ip:203.0.113.1", the value will be entity information such as "timestamp:159356923, publisher_id:300, dst_ip:"203.0.113.1", dst_port:443, ..., content:"SuspiciousFileDownload"". The specific value of the IP address, "203.0.113.1", becomes index information linked to the entity information.
例えば検索キーが「cure:pub:ip:203.0.113.1:domain」の場合のキーバリューデータベースDB13においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、ドメイン名を示す「domain」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスの具体値である「203.0.113.1」が索引情報であるIPアドレスと索引情報であるドメイン名との間を紐づける。 For example, in the key-value database DB13, when the search key is "cure:pub:ip:203.0.113.1:domain", the search key consists of generic values such as "cure", "pub", "ip" indicating an IP address, and "domain" indicating a domain name, as well as the specific value of the IP address, "203.0.113.1". Therefore, the specific value of the IP address, "203.0.113.1", links the IP address, which is the index information, with the domain name, which is the index information.
検索キーが「cure:pub:ip:203.0.113.1:domain」の場合、値は「www.example.net」といったドメイン名の具体値となる。IPアドレスの具体値である「203.0.113.1」がドメイン名の具体値に結び付けられた索引情報となる。 If the search key is "cure:pub:ip:203.0.113.1:domain", the value will be a specific domain name such as "www.example.net". The specific IP address value "203.0.113.1" becomes index information linked to the specific domain name value.
例えば検索キーが「cure:pub:ip:203.0.113.1:file」の場合のキーバリューデータベースDB14においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、ファイルのハッシュ値を示す「file」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスの具体値である「203.0.113.1」が索引情報であるIPアドレスと索引情報であるファイルのハッシュ値との間を紐づける。 For example, in the key-value database DB14, when the search key is "cure:pub:ip:203.0.113.1:file", the search key is made up of generic values such as "cure", "pub", "ip" indicating an IP address, and "file" indicating a hash value of a file, as well as the specific value of the IP address, "203.0.113.1". Therefore, the specific value of the IP address, "203.0.113.1", links the IP address, which is index information, with the hash value of the file, which is index information.
検索キーが「cure:pub:ip:203.0.113.1:file」の場合、値は「73336a8e9ea4345084c903336be41264」といったファイルのハッシュ値の具体値となる。IPアドレスの具体値である「203.0.113.1」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。 If the search key is "cure:pub:ip:203.0.113.1:file", the value will be the specific value of the file's hash value, such as "73336a8e9ea4345084c903336be41264". The specific IP address value "203.0.113.1" becomes index information linked to the specific value of the file's hash value.
例えば検索キーが「cure:pub:ip:203.0.113.1:tag」の場合のキーバリューデータベースDB15においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、語句情報を示す「tag」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスである「203.0.113.1」が索引情報であるIPアドレスと語句情報との間を紐づける。 For example, in the key-value database DB15, when the search key is "cure:pub:ip:203.0.113.1:tag", the search key is made up of generic values such as "cure", "pub", "ip" indicating an IP address, and "tag" indicating phrase information, as well as the specific value of the IP address, "203.0.113.1". Therefore, the IP address "203.0.113.1" links the IP address, which is index information, with the phrase information.
検索キーが「cure:pub:ip:203.0.113.1:tag」の場合、値は「Group123」といった語句情報の具体値となる。IPアドレスの具体値である「203.0.113.1」が語句情報の具体値に結び付けられた索引情報となる。なおより分かりやすい例としては、語句情報の具体値として、「WannaCry」や「Ransomeware」などが挙げられる。 When the search key is "cure:pub:ip:203.0.113.1:tag", the value is a specific value of the phrase information such as "Group123". The specific value of the IP address, "203.0.113.1", becomes index information linked to the specific value of the phrase information. As an even easier-to-understand example, specific values of the phrase information include "WannaCry" and "Ransomeware".
例えば検索キーが「cure:pub:tag:Group123:ip」の場合のキーバリューデータベースDB16においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、IPアドレスを示す「ip」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるIPアドレスとの間を紐づける。 For example, in the key-value database DB16, when the search key is "cure:pub:tag:Group123:ip", the search key is made up of generic values such as "cure", "pub", "tag" indicating phrase information, and "ip" indicating an IP address, as well as "Group123", which is a specific value of the phrase information. Therefore, "Group123", which is phrase information, links between the phrase information and the IP address, which is index information.
検索キーが「cure:pub:tag:Group123:ip」の場合、値は「203.0.113.1」といったIPアドレスの具体値となる。語句情報の具体値である「Group123」がIPアドレスの具体値に結び付けられた索引情報となる。 When the search key is "cure:pub:tag:Group123:ip", the value is a specific IP address such as "203.0.113.1". The specific value of the phrase information, "Group123", becomes index information linked to the specific value of the IP address.
例えば検索キーが「cure:pub:tag:Group123:domain」の場合のキーバリューデータベースDB17においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、ドメイン名を示す「domain」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるドメイン名との間を紐づける。 For example, in the key-value database DB17, when the search key is "cure:pub:tag:Group123:domain", the search key is made up of generic values such as "cure", "pub", "tag" indicating phrase information, and "domain" indicating a domain name, as well as "Group123", which is a specific value of the phrase information. Therefore, "Group123", which is phrase information, links between the phrase information and the domain name, which is index information.
検索キーが「cure:pub:tag:Group123:domain」の場合、値は「www.example.org」といったドメイン名の具体値となる。語句情報の具体値である「Group123」がドメイン名の具体値に結び付けられた索引情報となる。 When the search key is "cure:pub:tag:Group123:domain", the value is a specific domain name such as "www.example.org". The specific value of the phrase information, "Group123", becomes index information linked to the specific value of the domain name.
例えば検索キーが「cure:pub:tag:Group123:file」の場合のキーバリューデータベースDB18においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、ファイルのハッシュ値を示す「file」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるファイルのハッシュ値との間を紐づける。 For example, in the key-value database DB18, when the search key is "cure:pub:tag:Group123:file", the search key is made up of generic values such as "cure", "pub", "tag" indicating phrase information, and "file" indicating the hash value of the file, as well as "Group123", which is a specific value of the phrase information. Therefore, "Group123", which is the phrase information, links the phrase information with the hash value of the file, which is index information.
検索キーが「cure:pub:tag:Group123:file」の場合、値は「73336a8e9ea4345084c903336be41264」といったファイルのハッシュ値の具体値となる。語句情報の具体値である「Group123」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。 When the search key is "cure:pub:tag:Group123:file", the value is a specific value of the file's hash value, such as "73336a8e9ea4345084c903336be41264". The specific value of the phrase information, "Group123", becomes index information linked to the specific value of the file's hash value.
次に図3を用いてキーバリューデータベースDB1のデータ構造について説明する。図3は、本実施の形態による情報分析装置1に記憶されるキーバリューデータベースDB1のデータ構造の概念を示す図である。図3に示すようにキーバリューデータベースDB1は、階層構造を有しており、例えば最上位階層は、索引情報によって紐づけられ、最下位階層は語句情報によって紐づけられる。
Next, the data structure of the key-value database DB1 will be described with reference to FIG. 3. FIG. 3 is a diagram showing the concept of the data structure of the key-value database DB1 stored in the
具体的には、最上位階層である第1の階層は、キーバリューデータベースDB11であって、第2の階層は、キーバリューデータベースDB12,DB13,DB15であって、最下位階層である第3の階層は、キーバリューデータベースDB16,DB17,DB18である。 Specifically, the first hierarchical level, which is the highest hierarchical level, is key-value database DB11, the second hierarchical level is key-value databases DB12, DB13, and DB15, and the third hierarchical level, which is the lowest hierarchical level, is key-value databases DB16, DB17, and DB18.
第1の階層及び第2の階層は、IPアドレスの具体値である「203.0.113.1」によって紐づいており、第2の階層及び第3の階層は、語句情報の具体値である「Group123」によって紐づいている。 The first and second hierarchical levels are linked by the specific value of the IP address, "203.0.113.1," and the second and third hierarchical levels are linked by the specific value of the phrase information, "Group123."
次に図4を用いて使用者端末4に表示される画面20について説明する。図4は、本実施の形態による情報分析装置1によって使用者端末4に表示される画面20を示す。図4に示すように、画面20は例えばJSON(JavaScript Object Notation)形式のAPI(Application Programming Interface)及びウェブユーザインタフェースを備える。
Next, the
画面20には使用者の利用ケースに合わせて適宜情報が表示される。画面20には、IPアドレスと語句情報が表示されている。使用者端末4に自然言語による語句が表示される情報が送信されているため、画面20には語句情報が表示されている。
画面20の詳細について説明を行う。画面20は、領域21~30を含む。領域21には、分析の対象となっているIPアドレスが表示される。領域22には、分析の対象とする種別を選択するための選択肢が表示される。領域23には、分析の対象がどこの地域のものであるかが表示される。
領域24には、語句情報が表示される。領域25には索引情報又は語句情報がパブリッシャーから最後に発行された年月日時分秒が表示される。領域26には情報分析装置1以外の他の情報源へのリンク情報が表示される。
In area 24, phrase information is displayed. In
領域27には、どのパブリッシャーからの情報を情報分析装置1がいつ受信したかの情報が表示される。領域28には、所定の期間内に情報分析装置1が受信した情報の発行元である全てのパブリッシャーに対するそれぞれのパブリッシャーの割合に関する情報が表示される。領域29には所定の期間内に情報分析装置1が受信した情報の詳細が表示される。領域30には情報分析装置1が扱う全ての索引情報及び語句情報が表示される。
次に図5を用いて情報分析装置1が行う情報分析処理について説明する。図5は、輻輳制御処理の処理手順を示すフローチャートである。パブリッシャーがセキュリティ関連情報を発行すると、パブリッシャーメッセージ受信部5は、セキュリティ関連情報を受信する(S1)。
Next, the information analysis process performed by the
次に索引情報生成部10は、例えばキーバリューデータベースDB11のような索引情報を生成する(S2)。次に実体情報投入部11は、キーバリューデータベースDB12のような実体情報をデータベース記憶部8に投入する(S3)。
Next, the index
次に関連抽出部12は、例えばキーバリューデータベースDB13のように実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する(S4)。次に意味付け部13は、例えばキーバリューデータベースDB15~18のように意味付けを行う(S5)。次にサブスクライバー送受信部は、サブスクライバーから受信する分析結果取得要求に応じてサブスクライバーに分析結果情報を送信する(S6)。
Then, the
以上のように本実施の形態による情報分析装置1は、例えば語句情報が画面20に表示されるため使用者にとって情報分析装置1による分析の結果がわかりやすくなる。また本実施の形態による情報分析装置1においては、パブリッシャーによってセキュリティ関連情報を発行しサブスクライバーによって分析の結果を受信する(以下、これを購読と呼んでもよい)というパブリッシャーサブスクライバーモデルを利用している。
As described above, the
本実施の形態において情報分析装置1は、パブリッシャーサブスクライバーモデルを利用しているため、脅威観測装置2や利用例列挙装置3といったパブリッシャーを追加することで新しい利用例を追加するなどといった機能の拡張が容易にできる。
In this embodiment, the
例えば、使用者端末4としてのSIEM装置や脅威情報プラットフォーム提供装置は、受信した分析結果情報をもとに脅威観測装置2や利用例列挙装置3として情報分析装置にセキュリティ関連情報を送信することもできる。このようにすることで情報分析装置1は機能の拡張が容易になる。
For example, the SIEM device or threat information platform providing device serving as the
また本実施の形態において情報分析装置1は、キーバリュー型データベースを利用しているため、完全一致の場合の検索性能は、計算量オーダーで示すとO(1)となり、部分一致の場合の検索性能は、計算量オーダーで示すとO(N)となるため、検索速度が低下しにくい。
In addition, in this embodiment, the
Nは、検索情報の総数と、語句情報を足した数で、本実施の形態においては、検索情報がIPアドレス、ドメイン名及びファイルハッシュ値の3つであるため、4とする。意味付けも拡張できる。 N is the total number of search information items plus the number of phrase information items. In this embodiment, the search information items consist of three items: IP address, domain name, and file hash value, so N is set to 4. The meaning can also be expanded.
また上述の実施の形態においては、検索情報はIPアドレス、ドメイン名及びファイルハッシュ値の3つの場合について述べたが、これに限らない。例えば検索情報にメールアドレスが追加されてもよい。 In the above embodiment, the search information is described as consisting of three items: IP address, domain name, and file hash value, but this is not limited to these. For example, an email address may be added to the search information.
以上のように本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することが可能となる。 As described above, one aspect of the embodiment of the present invention makes it possible to provide an information analysis device that makes the analysis results easy for the user to understand, is less likely to slow down the search speed, and ensures scalability and flexibility.
上述の実施の形態においてはパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9が集積回路の場合について述べたが、本実施の形態はこれに限らない。パブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は例えばサーバなどに記憶されたプログラムによって実装されてもよい。
In the above embodiment, the publisher
またパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は、1つの装置に実装されず、例えばネットワークで接続された複数の装置に分散して実装されていてもよい。
In addition, the publisher
1……情報分析装置、2……脅威観測装置、3……利用例列挙装置、4……使用者端末、5……パブリッシャーメッセージ受信部、6……前処理部、7……横断分析部、8……データベース記憶部、9……サブスクライバー送受信部。 1... Information analysis device, 2... Threat observation device, 3... Usage example enumeration device, 4... User terminal, 5... Publisher message receiving unit, 6... Preprocessing unit, 7... Cross-sectional analysis unit, 8... Database storage unit, 9... Subscriber transmission/reception unit.
Claims (5)
前記セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、
前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、
前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する横断分析部と、
前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、
を備える、情報分析装置。 An information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information obtained by observing security-related threats transmitted from a threat observation device, and usage example information, which is information about usage examples of the security-related threats, and generates analysis result information, which is information on the results of the analysis,
a publisher message receiving unit for receiving the security-related information;
a pre-processing unit that performs a pre-processing to generate a plurality of types of index information for searching for the security-related information from the threat information, and to input entity information, which is the threat information linked to the index information, into a database storage unit that stores a key-value database;
a cross-sectional analysis unit that extracts associations between a plurality of types of index information by searching for other index information not linked to the entity information using an exact match search key, searches for the index information using the index information as an exact match search key for the usage example information, and generates analysis result information in which phrase information, which is a phrase in natural language stored in the index information as a part of the usage example information, is linked to the index information;
a subscriber transceiver unit for transmitting the analysis result information to a user terminal used by a user who analyzes the security-related information;
An information analysis device comprising:
請求項1に記載の情報分析装置。 The search key is composed of at least one of the index information or a plurality of the index information items and the phrase information items and is processed in order, the search key has a specific value and a generic value, and when the search key is a specific value, a link is made between a plurality of types of the index information items and the phrase information items.
The information analysis device according to claim 1 .
請求項1に記載の情報分析装置。 the analysis result information has a hierarchical structure, the top layer is linked by the index information, and the bottom layer is linked by the word/phrase information;
The information analysis device according to claim 1 .
請求項1に記載の情報分析装置。 The subscriber transceiver unit transmits information related to the requested index information included in the analysis result information acquisition request transmitted from the user terminal in a requested order, and information for displaying the phrase in the natural language is transmitted to the user terminal.
The information analysis device according to claim 1 .
前記セキュリティ関連情報を受信する第1のステップと、
前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第2のステップと、
前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する第3のステップと、
前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第4のステップと、
を備える、情報分析方法。 An information analysis method executed by an information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information obtained by observing security-related threats transmitted from a threat observation device, and usage example information, which is information about usage examples of the security-related threats, and generates analysis result information, which is information on the results of the analysis,
a first step of receiving said security related information;
a second step of performing a pre-processing of generating a plurality of types of index information for searching the security-related information from the threat information, and inputting entity information, which is the threat information linked to the index information, into a database storage unit that stores a key-value database;
a third step of extracting associations between a plurality of types of index information by searching other index information not linked to the entity information using an exact match search key, searching the index information using the exact match search key for the usage example information, and generating analysis result information in which phrase information, which is a phrase in natural language stored in the index information as a part of the usage example information, is linked to the index information;
a fourth step of transmitting the analysis result information to a user terminal used by a user who analyzes the security-related information;
The information analysis method includes:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020172800A JP7595915B2 (en) | 2020-10-13 | 2020-10-13 | Information analysis device and information analysis method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020172800A JP7595915B2 (en) | 2020-10-13 | 2020-10-13 | Information analysis device and information analysis method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022064203A JP2022064203A (en) | 2022-04-25 |
| JP7595915B2 true JP7595915B2 (en) | 2024-12-09 |
Family
ID=81378536
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020172800A Active JP7595915B2 (en) | 2020-10-13 | 2020-10-13 | Information analysis device and information analysis method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7595915B2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018139458A1 (en) | 2017-01-30 | 2018-08-02 | 日本電気株式会社 | Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium |
| JP2020021309A (en) | 2018-08-01 | 2020-02-06 | 株式会社野村総合研究所 | Vulnerability management system and program |
| WO2020050355A1 (en) | 2018-09-05 | 2020-03-12 | Necソリューションイノベータ株式会社 | Vulnerability information management device, vulnerability information management method, and program |
-
2020
- 2020-10-13 JP JP2020172800A patent/JP7595915B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018139458A1 (en) | 2017-01-30 | 2018-08-02 | 日本電気株式会社 | Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium |
| JP2020021309A (en) | 2018-08-01 | 2020-02-06 | 株式会社野村総合研究所 | Vulnerability management system and program |
| WO2020050355A1 (en) | 2018-09-05 | 2020-03-12 | Necソリューションイノベータ株式会社 | Vulnerability information management device, vulnerability information management method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022064203A (en) | 2022-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Peters et al. | Text filtering and ranking for security bug report prediction | |
| US10025904B2 (en) | Systems and methods for managing a master patient index including duplicate record detection | |
| US11770450B2 (en) | Dynamic routing of file system objects | |
| US10069892B2 (en) | Versatile information management system and method thereof | |
| US10572461B2 (en) | Systems and methods for managing a master patient index including duplicate record detection | |
| US20210065245A1 (en) | Using machine learning to discern relationships between individuals from digital transactional data | |
| KR20200083934A (en) | Visual blockchain browser | |
| CN112165462A (en) | Attack prediction method and device based on portrait, electronic equipment and storage medium | |
| WO2020201875A1 (en) | Method for accessing data records of a master data management system | |
| JP2023513274A (en) | Systems, methods, and computer programs for capturing, processing, storing, and retrieving technology asset data | |
| WO2018085470A1 (en) | Versioning of inferred data in an enriched isolated collection of resources and relationships | |
| US20180075095A1 (en) | Organizing datasets for adaptive responses to queries | |
| CN118626811A (en) | Industrial chain analysis method and system based on knowledge graph | |
| CN116204773A (en) | Causal feature screening method, causal feature screening device, causal feature screening equipment and storage medium | |
| CN111683107A (en) | Internet-oriented security audit method and system | |
| Kim et al. | Temporal Patterns Discovery of Evolving Graphs for Graph Neural Network (GNN)-based Anomaly Detection in Heterogeneous Networks. | |
| Ahsaan et al. | Big data analytics: challenges and technologies | |
| WO2022164691A1 (en) | Content based related view recommendations | |
| Al-Yasiri et al. | A threat intelligence event extraction conceptual model for cyber threat intelligence feeds | |
| JP7595915B2 (en) | Information analysis device and information analysis method | |
| CN120216600A (en) | Trusted data space management method and system based on blockchain | |
| US20170134408A1 (en) | Standard metadata model for analyzing events with fraud, attack, or any other malicious background | |
| CN117891882A (en) | Data management system, method, equipment and storage medium based on blockchain | |
| CN116028467A (en) | Intelligent service big data modeling method, system, storage medium and computer equipment | |
| CN119766530B (en) | Physical image processing methods, electronic devices, storage media, and software products |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230928 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240717 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240723 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240808 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20241029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20241120 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7595915 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |