Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7595915B2 - Information analysis device and information analysis method - Google Patents
[go: Go Back, main page]

JP7595915B2 - Information analysis device and information analysis method - Google Patents

Information analysis device and information analysis method Download PDF

Info

Publication number
JP7595915B2
JP7595915B2 JP2020172800A JP2020172800A JP7595915B2 JP 7595915 B2 JP7595915 B2 JP 7595915B2 JP 2020172800 A JP2020172800 A JP 2020172800A JP 2020172800 A JP2020172800 A JP 2020172800A JP 7595915 B2 JP7595915 B2 JP 7595915B2
Authority
JP
Japan
Prior art keywords
information
security
index
analysis
phrase
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020172800A
Other languages
Japanese (ja)
Other versions
JP2022064203A (en
Inventor
侑 津田
大介 井上
宏栄 鈴木
毅也 井野
彌一郎 高木
秀一 田中
延幸 金谷
貴弘 笠間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Institute of Information and Communications Technology
Original Assignee
National Institute of Information and Communications Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Institute of Information and Communications Technology filed Critical National Institute of Information and Communications Technology
Priority to JP2020172800A priority Critical patent/JP7595915B2/en
Publication of JP2022064203A publication Critical patent/JP2022064203A/en
Application granted granted Critical
Publication of JP7595915B2 publication Critical patent/JP7595915B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明の実施の形態は、情報分析装置及び情報分析方法に関する。 The present invention relates to an information analysis device and an information analysis method.

例えば非特許文献1には、情報源からサイバーセキュリティ関連の情報の収集し、収集された情報をデータベースに蓄積し、蓄積された情報を分析するような一連の処理を一貫して行うようなモノリシックな設計による技術が記載されている。分析とは例えば、IoC(Indicator of Compromise)間のつながりや複数のIoCからなるクラスタから意味を見出すことや、自然言語で記載されたサイバーセキュリティ関連の記事からIoC間の関連性をモデル化することを指す。 For example, Non-Patent Document 1 describes a monolithically designed technology that consistently performs a series of processes, such as collecting cybersecurity-related information from information sources, storing the collected information in a database, and analyzing the stored information. Analysis refers to, for example, finding meaning from connections between IoCs (Indicators of Compromise) or clusters consisting of multiple IoCs, and modeling the associations between IoCs from cybersecurity-related articles written in natural language.

伊藤大貫,永井達也,野村健太,近藤秀紀,神薗雅紀,白石善明,古本啓祐,瀧田槇,毛利公美,高野秦洋,森井昌克.スレットインテリジェンスのためのダイヤモンドモデルに基づく脅威情報分析システム.電子情報通信学会論文誌,Vol.J101-D,No.10,pp.1427-1437,2018Onuki Ito, Tatsuya Nagai, Kenta Nomura, Hidenori Kondo, Masaki Kamizono, Yoshiaki Shiraishi, Keisuke Furumoto, Maki Takita, Kumi Mori, Tadashi Takano, Masakatsu Morii. Diamond Model-Based Threat Analysis System for Threat Intelligence. Transactions of the Institute of Electronics, Information and Communication Engineers, Vol. J101-D, No. 10, pp. 1427-1437, 2018.

しかしながら非特許文献1に記載されたような従来の手法は、分析の結果に自然言語が紐づいておらず、使用者にとって分かりにくいという課題がある。また非特許文献1に記載されたような従来の手法は、サイバーセキュリティ関連の情報を蓄積したデータベースの検索速度については考慮されておらず、データベースに蓄積された情報が肥大化した際には検索速度が低下しやすくなる可能性があるという課題がある。さらに非特許文献1に記載されたような従来の手法は、モノリシックな設計を用いているため、拡張性や柔軟性が確保されにくく、処理を改良する場合にコストが高くなりやすいという課題がある。 However, the conventional method described in Non-Patent Document 1 has a problem that the analysis results are not linked to natural language, making them difficult for users to understand. In addition, the conventional method described in Non-Patent Document 1 does not take into consideration the search speed of a database that accumulates cybersecurity-related information, and there is a problem that the search speed may be easily reduced when the amount of information accumulated in the database becomes bloated. Furthermore, the conventional method described in Non-Patent Document 1 uses a monolithic design, making it difficult to ensure scalability and flexibility, and there is a problem that costs are likely to be high when improving the processing.

本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することを目的とする。 One aspect of the embodiment of the present invention aims to provide an information analysis device that makes the analysis results easy for users to understand, is less likely to slow down search speed, and ensures scalability and flexibility.

脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置であって、セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する横断分析部と、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、を備える、情報分析装置を提供する。 An information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information on observed security threats, transmitted from a threat observation device, and usage example information, which is information on usage examples of security threats, and generates analysis result information, which is information resulting from the analysis, is provided, the information analysis device comprising: a publisher message receiving unit that receives the security-related information; a pre-processing unit that generates multiple types of index information for searching for security-related information from the threat information, and performs pre-processing to input entity information, which is threat information linked to the index information, into a database storage unit that stores a key-value database; a cross-sectional analysis unit that searches for other index information that is not linked to the entity information as an exact match search key, extracts associations between multiple types of index information, searches for the usage example information as an exact match search key, and generates analysis result information in which phrase information, which is a phrase in natural language stored in the index information as part of the usage example information, is linked to the index information; and a subscriber transmitting/receiving unit that transmits the analysis result information to a user terminal used by a user who analyzes the security-related information.

脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、セキュリティに関しての脅威の利用例の情報である利用例情報と、を含むセキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置によって実行される情報分析方法であって、セキュリティ関連情報を受信する第1のステップと、脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、索引情報と紐づけられた脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第2のステップと、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出し、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する第3のステップと、分析結果情報を、セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第4のステップと、を備える、情報分析方法を提供する。 An information analysis method is provided which is executed by an information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information on observed security threats transmitted from a threat observation device, and usage example information, which is information on usage examples of security threats, and generates analysis result information, which is information resulting from the analysis, and which includes a first step of receiving the security-related information; a second step of performing preprocessing to generate multiple types of index information for searching the security-related information from the threat information and inputting entity information, which is threat information linked to the index information, into a database storage unit that stores a key-value database; a third step of searching other index information not linked to the entity information as an exact match search key to extract associations between the multiple types of index information, searching the usage example information as an exact match search key, and generating analysis result information in which phrase information, which is a phrase in natural language stored in the index information as part of the usage example information, is linked to the index information; and a fourth step of transmitting the analysis result information to a user terminal used by a user who analyzes the security-related information.

本発明の実施の形態の一態様によれば使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を実現できる。 According to one aspect of the embodiment of the present invention, it is possible to realize an information analysis device that makes the analysis results easy for the user to understand, is less likely to slow down the search speed, and ensures scalability and flexibility.

図1は、本実施の形態による情報分析装置を含む情報分析システムの構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of an information analysis system including an information analysis device according to this embodiment. 図2は、本実施の形態による情報分析装置に記憶されるキーバリューデータベースの概要を示す図である。FIG. 2 is a diagram showing an overview of a key-value database stored in the information analysis device according to this embodiment. 図3は、本実施の形態による情報分析装置に記憶されるキーバリューデータベースのデータ構造の概念を示す図である。FIG. 3 is a diagram showing the concept of the data structure of the key-value database stored in the information analysis device according to this embodiment. 図4は、本実施の形態による情報分析装置によって使用者端末に表示される画面を示す。FIG. 4 shows a screen displayed on a user terminal by the information analysis device according to this embodiment. 図5は、情報分析処理の処理手順を示すフローチャートである。FIG. 5 is a flowchart showing the procedure of the information analysis process.

以下図面を用いて、本発明の実施の形態の一態様を詳述する。 One embodiment of the present invention will be described in detail below with reference to the drawings.

図1は、本実施の形態による情報分析装置1を含む情報分析システムの構成を示すブロック図である。情報分析システムは、情報分析装置1と、脅威観測装置2と、利用例列挙装置3と、使用者端末4とを備える。 FIG. 1 is a block diagram showing the configuration of an information analysis system including an information analysis device 1 according to this embodiment. The information analysis system includes an information analysis device 1, a threat observation device 2, a use example enumeration device 3, and a user terminal 4.

図1に示す情報分析システムにおいて、情報分析装置1は、脅威観測装置2から送信されるセキュリティに関しての脅威を観測した情報である脅威情報(以下、これをIoCと呼んでもよい)と、利用例列挙装置3から送信されるセキュリティに関しての脅威の利用例の情報である利用例情報と、を受信する。 In the information analysis system shown in FIG. 1, the information analysis device 1 receives threat information (hereinafter, this may be referred to as IoC), which is information on observed security threats, sent from the threat observation device 2, and usage example information, which is information on usage examples of security threats, sent from the usage example enumeration device 3.

脅威情報と、利用例情報とを含むセキュリティに関する情報をセキュリティ関連情報と呼んでもよいものとする。情報分析装置1は、セキュリティ関連情報を受信すると、セキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成して、使用者端末4へと送信する。 Security-related information including threat information and usage example information may be referred to as security-related information. When the information analysis device 1 receives the security-related information, it analyzes the security-related information, generates analysis result information that is information on the results of the analysis, and transmits it to the user terminal 4.

脅威観測装置2は、1又は複数であって、例えば正規の通信を行わずに不正アクセスを受ける装置であるハニーポット装置やダークネットと呼ばれる未使用のIPアドレスを観測する装置であるダークネット観測装置などとする。 The threat observation device 2 may be one or more, such as a honeypot device that is subject to unauthorized access without conducting legitimate communications, or a darknet observation device that observes unused IP addresses known as the darknet.

例えばハニーポット装置は、IPアドレスやファイルのハッシュ値を含む脅威情報を情報分析装置1に送信する。また例えばダークネット観測装置は、IPアドレスやドメイン名を含む脅威情報を情報分析装置1に送信する。 For example, a honeypot device transmits threat information including IP addresses and file hash values to the information analysis device 1. Also, for example, a darknet monitoring device transmits threat information including IP addresses and domain names to the information analysis device 1.

利用例列挙装置3は、1又は複数であって、例えばMITREが戦術や手法にまとめられ、少数のマトリックスだけでなくSTIX(Structured Threat Informtion eXpression)/TAXII(Trusted Automated eXchange of Indicator Information)でも表現された既知の攻撃者の行動の構造化されたリストであるATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)を提供する装置であるATT&CK提供装置が挙げられる。 The use example enumeration device 3 may be one or more, and may be, for example, an ATT&CK providing device that provides ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), a structured list of known attacker behaviors in which MITRE is summarized into tactics and techniques and expressed not only in a small number of matrices but also in STIX (Structured Threat Information eXpression)/TAXII (Trusted Automated eXchange of Indicator Information).

また利用例列挙装置3として、記事の内容をRSSフィードから取得し、取得した記事の内容から自然言語によって記載された語句を抽出して提供する装置である記事抽出語句提供装置が挙げられる。 Another example of the usage example enumeration device 3 is an article extraction phrase providing device that obtains the contents of articles from an RSS feed, extracts phrases written in natural language from the obtained article contents, and provides them.

なお利用例情報は、脅威情報を含んでいるものとし、例えばATT&CK提供装置や記事抽出語句提供装置が情報分析装置1に送信する利用例情報には、IPアドレスやドメイン名やファイルのハッシュ値が含まれているものとする。 The usage example information includes threat information, and for example, the usage example information sent to the information analysis device 1 by the ATT&CK providing device or the article extracted phrase providing device includes IP addresses, domain names, and file hash values.

使用者端末4は、1又は複数であって、情報分析装置1を使用してセキュリティ関連情報を分析する使用者が使用する端末であって、パーソナルコンピュータやタブレット端末やスマートフォンなどとする。なお使用者端末4は、脅威情報を集約したり集積したりする装置である脅威情報プラットフォーム提供装置や、セキュリティ関連情報を提供したりプログラム内で発生した動作や出来事であるイベントを管理したりするSIEM(Security Information and Event Management)装置であってもよい。 The user terminal 4 is one or more terminals used by a user who uses the information analysis device 1 to analyze security-related information, and may be a personal computer, a tablet terminal, a smartphone, or the like. The user terminal 4 may be a threat information platform providing device that is a device that aggregates and accumulates threat information, or a Security Information and Event Management (SIEM) device that provides security-related information and manages events, which are actions and occurrences that occur within a program.

情報分析装置1は、パブリッシャーメッセージ受信部5と、前処理部6と、横断分析部7と、データベース記憶部8と、サブスクライバー送受信部9と、を備える。パブリッシャーメッセージ受信部5は、情報分析装置1にパブリッシャーである脅威観測装置2や利用例列挙装置3からのセキュリティ関連情報を受信する。セキュリティ関連情報が発行される都度ごとにパブリッシャーメッセージ受信部5はセキュリティ関連情報を受信する。 The information analysis device 1 includes a publisher message receiving unit 5, a preprocessing unit 6, a cross-sectional analysis unit 7, a database storage unit 8, and a subscriber transmission/reception unit 9. The publisher message receiving unit 5 receives security-related information from the threat observation device 2 and the use case enumeration device 3, which are publishers to the information analysis device 1. The publisher message receiving unit 5 receives the security-related information each time the security-related information is issued.

前処理部6は、脅威情報からセキュリティ関連情報を検索するための複数種類の索引情報を生成する索引情報生成部10と、索引情報と紐づけられた脅威情報である実体情報をデータベース記憶部8に投入する実体情報投入部11と、を備える。 The preprocessing unit 6 includes an index information generating unit 10 that generates multiple types of index information for searching for security-related information from threat information, and an entity information input unit 11 that inputs entity information, which is threat information linked to the index information, into the database storage unit 8.

横断分析部7は、関連抽出部12と、意味付け部13と、を備える。関連抽出部12は、実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する。意味付け部13は、利用例情報に対して、索引情報を完全一致の検索キーとして検索し、索引情報に利用例情報の一部として記憶されている自然言語による語句である語句情報を索引情報と紐づけた分析結果情報を生成する。 The cross-sectional analysis unit 7 includes an association extraction unit 12 and a semantic assignment unit 13. The association extraction unit 12 extracts associations between multiple types of index information by searching for other index information that is not linked to the entity information as a search key for an exact match. The semantic assignment unit 13 searches for the use example information as a search key for an exact match, and generates analysis result information that links the index information with word information, which is a phrase in natural language that is stored in the index information as part of the use example information.

データベース記憶部8は、検索キーに値が紐づいたデータベースであるキーバリュー型データベースのキーバリューデータベースDB1を記憶する。キーバリューデータベースDB1においては、検索キーによって値が検索される。 The database storage unit 8 stores a key-value database DB1, which is a key-value type database in which values are associated with search keys. In the key-value database DB1, values are searched for using search keys.

サブスクライバー送受信部9は、サブスクライバーである使用者端末4に分析結果情報を送信する。なおサブスクライバー送受信部9は、使用者端末4から分析結果取得要求に含まれる要求された索引情報に関係する情報を要求された順序で送信してもよい。例えばパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は集積回路とする。 The subscriber transmission/reception unit 9 transmits the analysis result information to the user terminal 4, which is the subscriber. The subscriber transmission/reception unit 9 may transmit information related to the requested index information included in the analysis result acquisition request from the user terminal 4 in the requested order. For example, the publisher message reception unit 5, preprocessing unit 6, cross-sectional analysis unit 7, database storage unit 8, and subscriber transmission/reception unit 9 are integrated circuits.

次に図2を用いてキーバリューデータベースDB1の概要について説明する。図2は、本実施の形態による情報分析装置1に記憶されるキーバリューデータベースDB1の概要を示す図である。キーバリューデータベースDB1は、キーバリューデータベースDB11~DB18を含む。 Next, an overview of the key-value database DB1 will be described with reference to FIG. 2. FIG. 2 is a diagram showing an overview of the key-value database DB1 stored in the information analysis device 1 according to this embodiment. The key-value database DB1 includes key-value databases DB11 to DB18.

図2に示すように、検索キーは、1又は複数の索引情報及び語句情報の少なくとも1つから構成され並び順に処理される。また図2に示すように検索キーには具体値と総称値があり、検索キーは具体値の場合、複数種類の索引情報及び語句情報の間を紐づける。なお検索キーが総称値のみからなる場合、検索キーは目次の役割をするものとする。 As shown in Figure 2, a search key is composed of at least one or more index information and phrase information, and is processed in order. As also shown in Figure 2, a search key can have a specific value and a generic value, and when the search key is a specific value, it links multiple types of index information and phrase information. When the search key is composed only of a generic value, the search key serves as a table of contents.

例えば検索キーが「cure:pub:ip-index」の場合のキーバリューデータベースDB11においては、検索キーは、「cure」、「pub」、「ip-index」といった総称値のみからなる。総称値のみからなる検索キーと結びつく値は目次の役割をする。なお検索キーが「cure:pub:ip-index」の場合、値は「203.0.113.1」などといったIPアドレスとなる。 For example, in the key-value database DB11, when the search key is "cure:pub:ip-index", the search key consists only of generic values such as "cure", "pub", and "ip-index". The value associated with the search key consisting only of generic values acts as a table of contents. Note that when the search key is "cure:pub:ip-index", the value will be an IP address such as "203.0.113.1".

例えば検索キーが「cure:pub:ip:203.0.113.1」の場合のキーバリューデータベースDB12においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」といった総称値と「203.0.113.1」といった具体値からなる。 For example, in the key-value database DB12, when the search key is "cure:pub:ip:203.0.113.1", the search key consists of generic values such as "cure", "pub", and "ip" indicating an IP address, and a specific value such as "203.0.113.1".

検索キーが「cure:pub:ip:203.0.113.1」の場合、値は「timestamp:159356923,publisher_id:300,dst_ip:"203.0.113.1",dst_port:443,…,content:"SuspiciousFileDownload"」といった実体情報となる。IPアドレスの具体値である「203.0.113.1」が実体情報に結び付けられた索引情報となる。 If the search key is "cure:pub:ip:203.0.113.1", the value will be entity information such as "timestamp:159356923, publisher_id:300, dst_ip:"203.0.113.1", dst_port:443, ..., content:"SuspiciousFileDownload"". The specific value of the IP address, "203.0.113.1", becomes index information linked to the entity information.

例えば検索キーが「cure:pub:ip:203.0.113.1:domain」の場合のキーバリューデータベースDB13においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、ドメイン名を示す「domain」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスの具体値である「203.0.113.1」が索引情報であるIPアドレスと索引情報であるドメイン名との間を紐づける。 For example, in the key-value database DB13, when the search key is "cure:pub:ip:203.0.113.1:domain", the search key consists of generic values such as "cure", "pub", "ip" indicating an IP address, and "domain" indicating a domain name, as well as the specific value of the IP address, "203.0.113.1". Therefore, the specific value of the IP address, "203.0.113.1", links the IP address, which is the index information, with the domain name, which is the index information.

検索キーが「cure:pub:ip:203.0.113.1:domain」の場合、値は「www.example.net」といったドメイン名の具体値となる。IPアドレスの具体値である「203.0.113.1」がドメイン名の具体値に結び付けられた索引情報となる。 If the search key is "cure:pub:ip:203.0.113.1:domain", the value will be a specific domain name such as "www.example.net". The specific IP address value "203.0.113.1" becomes index information linked to the specific domain name value.

例えば検索キーが「cure:pub:ip:203.0.113.1:file」の場合のキーバリューデータベースDB14においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、ファイルのハッシュ値を示す「file」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスの具体値である「203.0.113.1」が索引情報であるIPアドレスと索引情報であるファイルのハッシュ値との間を紐づける。 For example, in the key-value database DB14, when the search key is "cure:pub:ip:203.0.113.1:file", the search key is made up of generic values such as "cure", "pub", "ip" indicating an IP address, and "file" indicating a hash value of a file, as well as the specific value of the IP address, "203.0.113.1". Therefore, the specific value of the IP address, "203.0.113.1", links the IP address, which is index information, with the hash value of the file, which is index information.

検索キーが「cure:pub:ip:203.0.113.1:file」の場合、値は「73336a8e9ea4345084c903336be41264」といったファイルのハッシュ値の具体値となる。IPアドレスの具体値である「203.0.113.1」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。 If the search key is "cure:pub:ip:203.0.113.1:file", the value will be the specific value of the file's hash value, such as "73336a8e9ea4345084c903336be41264". The specific IP address value "203.0.113.1" becomes index information linked to the specific value of the file's hash value.

例えば検索キーが「cure:pub:ip:203.0.113.1:tag」の場合のキーバリューデータベースDB15においては、検索キーは、「cure」、「pub」、IPアドレスを示す「ip」、語句情報を示す「tag」といった総称値とIPアドレスの具体値である「203.0.113.1」からなる。このため、IPアドレスである「203.0.113.1」が索引情報であるIPアドレスと語句情報との間を紐づける。 For example, in the key-value database DB15, when the search key is "cure:pub:ip:203.0.113.1:tag", the search key is made up of generic values such as "cure", "pub", "ip" indicating an IP address, and "tag" indicating phrase information, as well as the specific value of the IP address, "203.0.113.1". Therefore, the IP address "203.0.113.1" links the IP address, which is index information, with the phrase information.

検索キーが「cure:pub:ip:203.0.113.1:tag」の場合、値は「Group123」といった語句情報の具体値となる。IPアドレスの具体値である「203.0.113.1」が語句情報の具体値に結び付けられた索引情報となる。なおより分かりやすい例としては、語句情報の具体値として、「WannaCry」や「Ransomeware」などが挙げられる。 When the search key is "cure:pub:ip:203.0.113.1:tag", the value is a specific value of the phrase information such as "Group123". The specific value of the IP address, "203.0.113.1", becomes index information linked to the specific value of the phrase information. As an even easier-to-understand example, specific values of the phrase information include "WannaCry" and "Ransomeware".

例えば検索キーが「cure:pub:tag:Group123:ip」の場合のキーバリューデータベースDB16においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、IPアドレスを示す「ip」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるIPアドレスとの間を紐づける。 For example, in the key-value database DB16, when the search key is "cure:pub:tag:Group123:ip", the search key is made up of generic values such as "cure", "pub", "tag" indicating phrase information, and "ip" indicating an IP address, as well as "Group123", which is a specific value of the phrase information. Therefore, "Group123", which is phrase information, links between the phrase information and the IP address, which is index information.

検索キーが「cure:pub:tag:Group123:ip」の場合、値は「203.0.113.1」といったIPアドレスの具体値となる。語句情報の具体値である「Group123」がIPアドレスの具体値に結び付けられた索引情報となる。 When the search key is "cure:pub:tag:Group123:ip", the value is a specific IP address such as "203.0.113.1". The specific value of the phrase information, "Group123", becomes index information linked to the specific value of the IP address.

例えば検索キーが「cure:pub:tag:Group123:domain」の場合のキーバリューデータベースDB17においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、ドメイン名を示す「domain」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるドメイン名との間を紐づける。 For example, in the key-value database DB17, when the search key is "cure:pub:tag:Group123:domain", the search key is made up of generic values such as "cure", "pub", "tag" indicating phrase information, and "domain" indicating a domain name, as well as "Group123", which is a specific value of the phrase information. Therefore, "Group123", which is phrase information, links between the phrase information and the domain name, which is index information.

検索キーが「cure:pub:tag:Group123:domain」の場合、値は「www.example.org」といったドメイン名の具体値となる。語句情報の具体値である「Group123」がドメイン名の具体値に結び付けられた索引情報となる。 When the search key is "cure:pub:tag:Group123:domain", the value is a specific domain name such as "www.example.org". The specific value of the phrase information, "Group123", becomes index information linked to the specific value of the domain name.

例えば検索キーが「cure:pub:tag:Group123:file」の場合のキーバリューデータベースDB18においては、検索キーは、「cure」、「pub」、語句情報を示す「tag」、ファイルのハッシュ値を示す「file」といった総称値と語句情報の具体値である「Group123」からなる。このため、語句情報である「Group123」が語句情報と索引情報であるファイルのハッシュ値との間を紐づける。 For example, in the key-value database DB18, when the search key is "cure:pub:tag:Group123:file", the search key is made up of generic values such as "cure", "pub", "tag" indicating phrase information, and "file" indicating the hash value of the file, as well as "Group123", which is a specific value of the phrase information. Therefore, "Group123", which is the phrase information, links the phrase information with the hash value of the file, which is index information.

検索キーが「cure:pub:tag:Group123:file」の場合、値は「73336a8e9ea4345084c903336be41264」といったファイルのハッシュ値の具体値となる。語句情報の具体値である「Group123」がファイルのハッシュ値の具体値に結び付けられた索引情報となる。 When the search key is "cure:pub:tag:Group123:file", the value is a specific value of the file's hash value, such as "73336a8e9ea4345084c903336be41264". The specific value of the phrase information, "Group123", becomes index information linked to the specific value of the file's hash value.

次に図3を用いてキーバリューデータベースDB1のデータ構造について説明する。図3は、本実施の形態による情報分析装置1に記憶されるキーバリューデータベースDB1のデータ構造の概念を示す図である。図3に示すようにキーバリューデータベースDB1は、階層構造を有しており、例えば最上位階層は、索引情報によって紐づけられ、最下位階層は語句情報によって紐づけられる。 Next, the data structure of the key-value database DB1 will be described with reference to FIG. 3. FIG. 3 is a diagram showing the concept of the data structure of the key-value database DB1 stored in the information analysis device 1 according to this embodiment. As shown in FIG. 3, the key-value database DB1 has a hierarchical structure, and for example, the top layer is linked by index information, and the bottom layer is linked by word information.

具体的には、最上位階層である第1の階層は、キーバリューデータベースDB11であって、第2の階層は、キーバリューデータベースDB12,DB13,DB15であって、最下位階層である第3の階層は、キーバリューデータベースDB16,DB17,DB18である。 Specifically, the first hierarchical level, which is the highest hierarchical level, is key-value database DB11, the second hierarchical level is key-value databases DB12, DB13, and DB15, and the third hierarchical level, which is the lowest hierarchical level, is key-value databases DB16, DB17, and DB18.

第1の階層及び第2の階層は、IPアドレスの具体値である「203.0.113.1」によって紐づいており、第2の階層及び第3の階層は、語句情報の具体値である「Group123」によって紐づいている。 The first and second hierarchical levels are linked by the specific value of the IP address, "203.0.113.1," and the second and third hierarchical levels are linked by the specific value of the phrase information, "Group123."

次に図4を用いて使用者端末4に表示される画面20について説明する。図4は、本実施の形態による情報分析装置1によって使用者端末4に表示される画面20を示す。図4に示すように、画面20は例えばJSON(JavaScript Object Notation)形式のAPI(Application Programming Interface)及びウェブユーザインタフェースを備える。 Next, the screen 20 displayed on the user terminal 4 will be described with reference to FIG. 4. FIG. 4 shows the screen 20 displayed on the user terminal 4 by the information analysis device 1 according to this embodiment. As shown in FIG. 4, the screen 20 includes, for example, an API (Application Programming Interface) in JSON (JavaScript Object Notation) format and a web user interface.

画面20には使用者の利用ケースに合わせて適宜情報が表示される。画面20には、IPアドレスと語句情報が表示されている。使用者端末4に自然言語による語句が表示される情報が送信されているため、画面20には語句情報が表示されている。 Screen 20 displays information appropriate to the user's use case. Screen 20 displays an IP address and phrase information. Since information that displays phrases in natural language is transmitted to user terminal 4, screen 20 displays the phrase information.

画面20の詳細について説明を行う。画面20は、領域21~30を含む。領域21には、分析の対象となっているIPアドレスが表示される。領域22には、分析の対象とする種別を選択するための選択肢が表示される。領域23には、分析の対象がどこの地域のものであるかが表示される。 Screen 20 will now be described in detail. Screen 20 includes areas 21 to 30. Area 21 displays the IP address that is the subject of analysis. Area 22 displays options for selecting the type of the subject of analysis. Area 23 displays the region that is the subject of analysis.

領域24には、語句情報が表示される。領域25には索引情報又は語句情報がパブリッシャーから最後に発行された年月日時分秒が表示される。領域26には情報分析装置1以外の他の情報源へのリンク情報が表示される。 In area 24, phrase information is displayed. In area 25, the year, month, day, hour, minute, and second when index information or phrase information was last issued by a publisher are displayed. In area 26, link information to information sources other than the information analysis device 1 is displayed.

領域27には、どのパブリッシャーからの情報を情報分析装置1がいつ受信したかの情報が表示される。領域28には、所定の期間内に情報分析装置1が受信した情報の発行元である全てのパブリッシャーに対するそれぞれのパブリッシャーの割合に関する情報が表示される。領域29には所定の期間内に情報分析装置1が受信した情報の詳細が表示される。領域30には情報分析装置1が扱う全ての索引情報及び語句情報が表示される。 Area 27 displays information about which publisher information was received from and when. Area 28 displays information about the proportion of each publisher to all publishers that are the issuers of information received by the information analysis device 1 within a specified period. Area 29 displays details of the information received by the information analysis device 1 within a specified period. Area 30 displays all index information and phrase information handled by the information analysis device 1.

次に図5を用いて情報分析装置1が行う情報分析処理について説明する。図5は、輻輳制御処理の処理手順を示すフローチャートである。パブリッシャーがセキュリティ関連情報を発行すると、パブリッシャーメッセージ受信部5は、セキュリティ関連情報を受信する(S1)。 Next, the information analysis process performed by the information analysis device 1 will be described with reference to FIG. 5. FIG. 5 is a flowchart showing the processing steps of the congestion control process. When a publisher issues security-related information, the publisher message receiving unit 5 receives the security-related information (S1).

次に索引情報生成部10は、例えばキーバリューデータベースDB11のような索引情報を生成する(S2)。次に実体情報投入部11は、キーバリューデータベースDB12のような実体情報をデータベース記憶部8に投入する(S3)。 Next, the index information generation unit 10 generates index information, for example, a key-value database DB11 (S2). Next, the entity information input unit 11 inputs entity information, such as a key-value database DB12, into the database storage unit 8 (S3).

次に関連抽出部12は、例えばキーバリューデータベースDB13のように実体情報に対して、紐づけられていない他の索引情報を完全一致の検索キーとして検索することで、複数種類の索引情報の間の関連を抽出する(S4)。次に意味付け部13は、例えばキーバリューデータベースDB15~18のように意味付けを行う(S5)。次にサブスクライバー送受信部は、サブスクライバーから受信する分析結果取得要求に応じてサブスクライバーに分析結果情報を送信する(S6)。 Then, the relation extraction unit 12 extracts relations between multiple types of index information by searching for other index information that is not linked to the entity information, for example, in the key-value database DB13, using the index information as a search key that matches exactly (S4). Next, the meaning assignment unit 13 assigns meaning, for example, in the key-value databases DB15-18 (S5). Next, the subscriber transmission/reception unit transmits the analysis result information to the subscriber in response to the analysis result acquisition request received from the subscriber (S6).

以上のように本実施の形態による情報分析装置1は、例えば語句情報が画面20に表示されるため使用者にとって情報分析装置1による分析の結果がわかりやすくなる。また本実施の形態による情報分析装置1においては、パブリッシャーによってセキュリティ関連情報を発行しサブスクライバーによって分析の結果を受信する(以下、これを購読と呼んでもよい)というパブリッシャーサブスクライバーモデルを利用している。 As described above, the information analysis device 1 according to this embodiment makes it easy for the user to understand the results of the analysis by the information analysis device 1 because, for example, word information is displayed on the screen 20. Furthermore, the information analysis device 1 according to this embodiment uses a publisher-subscriber model in which security-related information is issued by a publisher and the results of the analysis are received by a subscriber (hereinafter, this may be referred to as subscribing).

本実施の形態において情報分析装置1は、パブリッシャーサブスクライバーモデルを利用しているため、脅威観測装置2や利用例列挙装置3といったパブリッシャーを追加することで新しい利用例を追加するなどといった機能の拡張が容易にできる。 In this embodiment, the information analysis device 1 uses a publisher-subscriber model, so it is easy to expand functions such as adding new use cases by adding publishers such as a threat observation device 2 and a use case enumeration device 3.

例えば、使用者端末4としてのSIEM装置や脅威情報プラットフォーム提供装置は、受信した分析結果情報をもとに脅威観測装置2や利用例列挙装置3として情報分析装置にセキュリティ関連情報を送信することもできる。このようにすることで情報分析装置1は機能の拡張が容易になる。 For example, the SIEM device or threat information platform providing device serving as the user terminal 4 can also transmit security-related information to the information analysis device serving as the threat observation device 2 or the use case enumeration device 3 based on the received analysis result information. In this way, the information analysis device 1 can easily expand its functions.

また本実施の形態において情報分析装置1は、キーバリュー型データベースを利用しているため、完全一致の場合の検索性能は、計算量オーダーで示すとO(1)となり、部分一致の場合の検索性能は、計算量オーダーで示すとO(N)となるため、検索速度が低下しにくい。 In addition, in this embodiment, the information analysis device 1 uses a key-value database, so the search performance in the case of an exact match is O(1) in terms of the amount of calculation, and the search performance in the case of a partial match is O(N) in terms of the amount of calculation, so the search speed is unlikely to decrease.

Nは、検索情報の総数と、語句情報を足した数で、本実施の形態においては、検索情報がIPアドレス、ドメイン名及びファイルハッシュ値の3つであるため、4とする。意味付けも拡張できる。 N is the total number of search information items plus the number of phrase information items. In this embodiment, the search information items consist of three items: IP address, domain name, and file hash value, so N is set to 4. The meaning can also be expanded.

また上述の実施の形態においては、検索情報はIPアドレス、ドメイン名及びファイルハッシュ値の3つの場合について述べたが、これに限らない。例えば検索情報にメールアドレスが追加されてもよい。 In the above embodiment, the search information is described as consisting of three items: IP address, domain name, and file hash value, but this is not limited to these. For example, an email address may be added to the search information.

以上のように本発明の実施の形態の一態様は、使用者にとって分析の結果がわかりやすく、検索速度が低下しにくく、かつ、拡張性や柔軟性を確保した情報分析装置を提供することが可能となる。 As described above, one aspect of the embodiment of the present invention makes it possible to provide an information analysis device that makes the analysis results easy for the user to understand, is less likely to slow down the search speed, and ensures scalability and flexibility.

上述の実施の形態においてはパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9が集積回路の場合について述べたが、本実施の形態はこれに限らない。パブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は例えばサーバなどに記憶されたプログラムによって実装されてもよい。 In the above embodiment, the publisher message receiving unit 5, preprocessing unit 6, cross-sectional analysis unit 7, database storage unit 8, and subscriber transmitting/receiving unit 9 are described as integrated circuits, but this embodiment is not limited to this. The publisher message receiving unit 5, preprocessing unit 6, cross-sectional analysis unit 7, database storage unit 8, and subscriber transmitting/receiving unit 9 may be implemented by a program stored in a server, for example.

またパブリッシャーメッセージ受信部5、前処理部6、横断分析部7、データベース記憶部8及びサブスクライバー送受信部9は、1つの装置に実装されず、例えばネットワークで接続された複数の装置に分散して実装されていてもよい。 In addition, the publisher message receiving unit 5, preprocessing unit 6, cross-sectional analysis unit 7, database storage unit 8, and subscriber transmission/reception unit 9 may not be implemented in a single device, but may be distributed across multiple devices connected via a network, for example.

1……情報分析装置、2……脅威観測装置、3……利用例列挙装置、4……使用者端末、5……パブリッシャーメッセージ受信部、6……前処理部、7……横断分析部、8……データベース記憶部、9……サブスクライバー送受信部。 1... Information analysis device, 2... Threat observation device, 3... Usage example enumeration device, 4... User terminal, 5... Publisher message receiving unit, 6... Preprocessing unit, 7... Cross-sectional analysis unit, 8... Database storage unit, 9... Subscriber transmission/reception unit.

Claims (5)

脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、前記セキュリティに関しての脅威の利用例の情報である利用例情報と、を含む前記セキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置であって、
前記セキュリティ関連情報を受信するパブリッシャーメッセージ受信部と、
前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う前処理部と、
前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する横断分析部と、
前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信するサブスクライバー送受信部と、
を備える、情報分析装置。
An information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information obtained by observing security-related threats transmitted from a threat observation device, and usage example information, which is information about usage examples of the security-related threats, and generates analysis result information, which is information on the results of the analysis,
a publisher message receiving unit for receiving the security-related information;
a pre-processing unit that performs a pre-processing to generate a plurality of types of index information for searching for the security-related information from the threat information, and to input entity information, which is the threat information linked to the index information, into a database storage unit that stores a key-value database;
a cross-sectional analysis unit that extracts associations between a plurality of types of index information by searching for other index information not linked to the entity information using an exact match search key, searches for the index information using the index information as an exact match search key for the usage example information, and generates analysis result information in which phrase information, which is a phrase in natural language stored in the index information as a part of the usage example information, is linked to the index information;
a subscriber transceiver unit for transmitting the analysis result information to a user terminal used by a user who analyzes the security-related information;
An information analysis device comprising:
前記検索キーは、1又は複数の前記索引情報及び前記語句情報の少なくとも1つから構成され並び順に処理され、前記検索キーには具体値と総称値があり、前記検索キーは具体値の場合、複数種類の前記索引情報及び前記語句情報の間を紐づける、
請求項1に記載の情報分析装置。
The search key is composed of at least one of the index information or a plurality of the index information items and the phrase information items and is processed in order, the search key has a specific value and a generic value, and when the search key is a specific value, a link is made between a plurality of types of the index information items and the phrase information items.
The information analysis device according to claim 1 .
前記分析結果情報は、階層構造を有しており、最上位階層は、前記索引情報によって紐づけられ、最下位階層は前記語句情報によって紐づけられる、
請求項1に記載の情報分析装置。
the analysis result information has a hierarchical structure, the top layer is linked by the index information, and the bottom layer is linked by the word/phrase information;
The information analysis device according to claim 1 .
前記サブスクライバー送受信部は、前記使用者端末から送信される分析結果情報取得要求に含まれる要求された前記索引情報に関係する情報を要求された順序で送信し、前記使用者端末に前記自然言語による前記語句を表示するための情報が送信される、
請求項1に記載の情報分析装置。
The subscriber transceiver unit transmits information related to the requested index information included in the analysis result information acquisition request transmitted from the user terminal in a requested order, and information for displaying the phrase in the natural language is transmitted to the user terminal.
The information analysis device according to claim 1 .
脅威観測装置から送信されるセキュリティに関しての脅威を観測した情報である脅威情報と、前記セキュリティに関しての脅威の利用例の情報である利用例情報と、を含む前記セキュリティに関する情報であるセキュリティ関連情報を分析し、分析の結果の情報である分析結果情報を生成する情報分析装置によって実行される情報分析方法であって、
前記セキュリティ関連情報を受信する第1のステップと、
前記脅威情報から前記セキュリティ関連情報を検索するための複数種類の索引情報を生成し、前記索引情報と紐づけられた前記脅威情報である実体情報を、キーバリューデータベースを記憶するデータベース記憶部に投入する前処理を行う第2のステップと、
前記実体情報に対して、紐づけられていない他の前記索引情報を完全一致の検索キーとして検索することで、複数種類の前記索引情報の間の関連を抽出し、前記利用例情報に対して、前記索引情報を完全一致の検索キーとして検索し、前記索引情報に前記利用例情報の一部として記憶されている自然言語による語句である語句情報を前記索引情報と紐づけた分析結果情報を生成する第3のステップと、
前記分析結果情報を、前記セキュリティ関連情報を分析する使用者が使用する使用者端末へと送信する第4のステップと、
を備える、情報分析方法。
An information analysis method executed by an information analysis device that analyzes security-related information, which is information related to security, including threat information, which is information obtained by observing security-related threats transmitted from a threat observation device, and usage example information, which is information about usage examples of the security-related threats, and generates analysis result information, which is information on the results of the analysis,
a first step of receiving said security related information;
a second step of performing a pre-processing of generating a plurality of types of index information for searching the security-related information from the threat information, and inputting entity information, which is the threat information linked to the index information, into a database storage unit that stores a key-value database;
a third step of extracting associations between a plurality of types of index information by searching other index information not linked to the entity information using an exact match search key, searching the index information using the exact match search key for the usage example information, and generating analysis result information in which phrase information, which is a phrase in natural language stored in the index information as a part of the usage example information, is linked to the index information;
a fourth step of transmitting the analysis result information to a user terminal used by a user who analyzes the security-related information;
The information analysis method includes:
JP2020172800A 2020-10-13 2020-10-13 Information analysis device and information analysis method Active JP7595915B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020172800A JP7595915B2 (en) 2020-10-13 2020-10-13 Information analysis device and information analysis method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020172800A JP7595915B2 (en) 2020-10-13 2020-10-13 Information analysis device and information analysis method

Publications (2)

Publication Number Publication Date
JP2022064203A JP2022064203A (en) 2022-04-25
JP7595915B2 true JP7595915B2 (en) 2024-12-09

Family

ID=81378536

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020172800A Active JP7595915B2 (en) 2020-10-13 2020-10-13 Information analysis device and information analysis method

Country Status (1)

Country Link
JP (1) JP7595915B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018139458A1 (en) 2017-01-30 2018-08-02 日本電気株式会社 Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium
JP2020021309A (en) 2018-08-01 2020-02-06 株式会社野村総合研究所 Vulnerability management system and program
WO2020050355A1 (en) 2018-09-05 2020-03-12 Necソリューションイノベータ株式会社 Vulnerability information management device, vulnerability information management method, and program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018139458A1 (en) 2017-01-30 2018-08-02 日本電気株式会社 Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium
JP2020021309A (en) 2018-08-01 2020-02-06 株式会社野村総合研究所 Vulnerability management system and program
WO2020050355A1 (en) 2018-09-05 2020-03-12 Necソリューションイノベータ株式会社 Vulnerability information management device, vulnerability information management method, and program

Also Published As

Publication number Publication date
JP2022064203A (en) 2022-04-25

Similar Documents

Publication Publication Date Title
Peters et al. Text filtering and ranking for security bug report prediction
US10025904B2 (en) Systems and methods for managing a master patient index including duplicate record detection
US11770450B2 (en) Dynamic routing of file system objects
US10069892B2 (en) Versatile information management system and method thereof
US10572461B2 (en) Systems and methods for managing a master patient index including duplicate record detection
US20210065245A1 (en) Using machine learning to discern relationships between individuals from digital transactional data
KR20200083934A (en) Visual blockchain browser
CN112165462A (en) Attack prediction method and device based on portrait, electronic equipment and storage medium
WO2020201875A1 (en) Method for accessing data records of a master data management system
JP2023513274A (en) Systems, methods, and computer programs for capturing, processing, storing, and retrieving technology asset data
WO2018085470A1 (en) Versioning of inferred data in an enriched isolated collection of resources and relationships
US20180075095A1 (en) Organizing datasets for adaptive responses to queries
CN118626811A (en) Industrial chain analysis method and system based on knowledge graph
CN116204773A (en) Causal feature screening method, causal feature screening device, causal feature screening equipment and storage medium
CN111683107A (en) Internet-oriented security audit method and system
Kim et al. Temporal Patterns Discovery of Evolving Graphs for Graph Neural Network (GNN)-based Anomaly Detection in Heterogeneous Networks.
Ahsaan et al. Big data analytics: challenges and technologies
WO2022164691A1 (en) Content based related view recommendations
Al-Yasiri et al. A threat intelligence event extraction conceptual model for cyber threat intelligence feeds
JP7595915B2 (en) Information analysis device and information analysis method
CN120216600A (en) Trusted data space management method and system based on blockchain
US20170134408A1 (en) Standard metadata model for analyzing events with fraud, attack, or any other malicious background
CN117891882A (en) Data management system, method, equipment and storage medium based on blockchain
CN116028467A (en) Intelligent service big data modeling method, system, storage medium and computer equipment
CN119766530B (en) Physical image processing methods, electronic devices, storage media, and software products

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230928

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240723

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240808

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241120

R150 Certificate of patent or registration of utility model

Ref document number: 7595915

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150