JP6845819B2 - 分析装置、分析方法、および分析プログラム - Google Patents

分析装置、分析方法、および分析プログラム Download PDF

Info

Publication number
JP6845819B2
JP6845819B2 JP2018030182A JP2018030182A JP6845819B2 JP 6845819 B2 JP6845819 B2 JP 6845819B2 JP 2018030182 A JP2018030182 A JP 2018030182A JP 2018030182 A JP2018030182 A JP 2018030182A JP 6845819 B2 JP6845819 B2 JP 6845819B2
Authority
JP
Japan
Prior art keywords
factor
prediction
alert
error
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2018030182A
Other languages
English (en)
Other versions
JP2019144970A (ja
Inventor
和 三村
和 三村
雄次 對馬
雄次 對馬
幸三 池上
幸三 池上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018030182A priority Critical patent/JP6845819B2/ja
Priority to PCT/JP2018/030206 priority patent/WO2019163160A1/ja
Priority to US16/644,892 priority patent/US11507881B2/en
Priority to CA3074663A priority patent/CA3074663C/en
Publication of JP2019144970A publication Critical patent/JP2019144970A/ja
Application granted granted Critical
Publication of JP6845819B2 publication Critical patent/JP6845819B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Prevention of errors by analysis, debugging or testing of software
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/09Supervised learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Quality & Reliability (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Biophysics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、データを分析する分析装置、分析方法、および分析プログラムに関する。
サイバー空間では攻撃側が構造的に優位であり、その攻撃は日々高度化、増加、変化している。そのような中、攻撃対象は従来の金融サービス事業者やIT(Information Technology)サービス事業者からインフラ事業者へ拡大している。対策に必要な対策コストは右肩上がりだが、投資がそれに追いつかないのが現状である。セキュリティ専門家の人数も不足しており、将来に向けた人材確保が課題となっている。十分な数のセキュリティ専門家を確保できないために、情報システムや制御システムにおけるセキュリティインシデントの発生を監視するSOC(Security Operation Center)の運用業務に支障を来たすことが懸念される。特に、社会インフラ事業者においては監視対象システム全体を監視する流れあり、これまでに比べて、SOC130運用性能の大幅な向上が要求される。
SOC130運用業務において最も工数を要するのは、FW(Firewall)/IPS(Intrusion Prevention System)などから通知されるセキュリティアラートの重要度を判断する作業(インシデントか誤検知かを人手で判断する作業)である。
従来、セキュリティアラートが発生した際には、SOCの専門家が監視対象システム内の各装置ログと外部脅威情報(URL(Uniform Resource Locator)やマルウェアの危険度評価など)を参照し、そのアラートの重要度を経験と勘に基づいて判断していた。増加し続けるサイバー攻撃や監視対象システムの大規模化に対して、将来に渡って持続可能なSOC運用を実現するには、上記セキュリティアラートの重要度判断を自動化、または支援することが必要である。
下記特許文献1の情報処理装置は、過去のアラートに関する通信情報の特徴量(IPアドレス、ホスト名、検知ルール、一定時間内での同一アラート発生数、パケットペイロードのNグラム出現頻度など)と、新たに発生したアラートに関する通信情報の特徴量の非類似度、すなわち距離を算出し、その距離と過去のアラートに対する判断結果から新たなアラートの重要度を決定する。
下記特許文献2の需要予測装置は、各種(来店者数、販売数量、電力消費量など)の需要量に関して、過去の需要量の予測値と実測値の誤差をとり、その誤差が異常値である場合には、それを目的変数として新たな説明変数を獲得して、その新たな説明変数を予測モデルに追加する。
国際公開2016/208159号公報 特開2017−16632号公報
監視対象システムが大規模化すること、およびサイバー攻撃の手口が日々変化し増加していることに鑑みると、学習すべき各装置のログ項目や外部脅威情報の項目に関して、その特徴量の次元と値域は非常に多岐に渡り、かつ変化する。そのため、アラート重要度判断に影響を与えた要因の分析結果に多くのノイズを与え、その結果、正確に重要度を予測できなくなる問題がある。
また、一般に、特徴量の次元数が非常に多くなると算出される距離に差が出なくなる、すなわちすべてのアラートが類似に見えてしまう問題が知られている。したがって、特許文献1では、監視対象規模が大きくなる場合や、通信情報だけでなく多種多様なログを元にした特徴量を用いることで特徴量の次元数が非常に多くなる場合には、アラート重要度判断に対応することができない。また、特許文献2では、説明変数の増加に伴いノイズも増加することになり、逆に予測値の誤差が大きくなってしまう。
本発明は、予測誤差の誤差要因を特定することを目的とする。
本願において開示される発明の一側面となる分析装置は、プロセッサと、事象群の要因に対する結果を予測する予測モデル式を記憶する記憶デバイスと、を有する分析装置であって、前記プロセッサは、前記事象群の中の第1事象の要因に対する第1出現頻度を前記予測モデル式に与えることで得られる第1予測値と、前記第1出現頻度に対応する結果と、に基づいて、前記第1予測値の予測誤差を算出する予測誤差算出処理と、前記事象群の中の第2事象の要因に対する第2出現頻度と、前記予測誤差算出処理によって算出された予測誤差と、の相関に基づいて、前記第1事象の要因の中から前記予測誤差の誤差要因を抽出する誤差要因抽出処理と、を実行することを特徴とする。
本発明の代表的な実施の形態によれば、予測誤差の誤差要因を特定することができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
図1は、監視システムのシステム構成例を示すブロック図である。 図2は、図1に示した各種コンピュータのハードウェア構成例を示すブロック図である。 図3は、アラート分析装置の機能的構成例を示すブロック図である。 図4は、アラート判断とログ統計集計の動作シーケンス例を示すシーケンス図である。 図5は、アラート判断集計テーブルの一例を示す説明図である。 図6は、ログ統計集計テーブルの一例を示す説明図である。 図7は、データ種別管理テーブルの一例を示す説明図である。 図8は、分析期間Tのアラート重要度予測の動作シーケンス例を示すシーケンス図である。 図9は、抽出要因テーブルの一例を示す説明図である。 図10は、誤差テーブルの一例を示す説明図である。 図11は、図8の点線枠の処理の繰り返し試行の終了条件を示す説明図である。 図12は、誤差要因テーブルの一例を示す説明図である。 図13は、更新後の抽出要因テーブルの一例を示す説明図である。 図14は、重要度予測値の出力画面表示例を示す説明図である。 図15は、要因抽出部による要因抽出処理手順例を示すフローチャートである。 図16は、重要度予測部による重要度予測処理手順例を示すフローチャートである。
<システム構成例>
図1は、監視システムのシステム構成例を示すブロック図である。監視システム1は、監視対象システム100と、SOC130と、を有する。監視対象システムとSOC130は、通信可能に接続される。
監視対象システム100は、SOC130に監視されるシステムである。監視対象システム100は、第1ネットワーク110、1台以上のクライアント端末111、業務サーバ112、ネットワーク監視装置113、第1FW/IPS114、およびプロキシサーバ116を有する。
第1ネットワーク110は、たとえば、バスであり、1台以上のクライアント端末111、業務サーバ112、ネットワーク監視装置113、第1FW/IPS114、プロキシサーバ116、第2FW/IPS123およびSOC130を通信可能に接続する。第1FW/IPS114は、外部ネットワーク115に通信可能に接続される。外部ネットワーク115は、たとえば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットである。
また、監視対象システム100は、第2ネットワーク120、制御装置121、コントローラ122、および第2FW/IPS123を有する。第2ネットワーク120は、たとえば、バスであり、第2ネットワーク120、制御装置121、コントローラ122、および第2FW/IPS123を通信可能に接続する。
SOC130は、アラート管理装置131と、ログ収集装置132と、アラート分析装置134と、第3ネットワーク135と、を有する。第3ネットワークは、たとえば、バスであり、アラート管理装置131、ログ収集装置132、アラート分析装置134、および外部脅威情報データベース133を通信可能に接続する。
アラート管理装置131は、事象の一例として、監視対象システム100からウィルス検出、異常な挙動検出、未登録装置との接続検出といったアラートを取得して格納する。アラートは、たとえば、アラートの発生日時と、アラート対象(アラートの発生元)と、アラート対象の通信相手と、を含む情報である。ログ収集装置132は、監視対象システム100からのログ(アラート除く)を取得して格納する。ログは、いつ、監視対象システム100内のどのコンピュータ200がどのようなデータをどの通信相手に送受信したかを示す履歴情報である。
アラート分析装置134は、アラート管理装置131で管理されているアラートとログ収集装置132で管理されているログと外部脅威情報データベース133に登録されている脅威情報を用いて、アラートを分析する。外部脅威情報データベース133は、たとえば、インターネット上で脅威情報を公開するデータベースである。脅威情報には、たとえば、マルウェア、プログラムの脆弱性、スパム、不正URLがある。
<コンピュータのハードウェア構成例>
図2は、図1に示した各種コンピュータ(クライアント端末111、業務サーバ112、ネットワーク監視装置113、第1FW/IPS114、プロキシサーバ116、制御装置121、コントローラ122、第2FW/IPS123、アラート管理装置131、ログ収集装置132、アラート分析装置134)のハードウェア構成例を示すブロック図である。
コンピュータ200は、プロセッサ201と、記憶デバイス202と、入力デバイス203と、出力デバイス204と、通信インターフェース(通信IF)205と、を有する。プロセッサ201、記憶デバイス202、入力デバイス203、出力デバイス204、および通信IF205は、バス206により接続される。プロセッサ201は、コンピュータ200を制御する。
記憶デバイス202は、プロセッサ201の作業エリアとなる。また、記憶デバイス202は、各種プログラムやデータを記憶する非一時的なまたは一時的な記録媒体である。記憶デバイス202としては、たとえば、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、フラッシュメモリがある。入力デバイス203は、データを入力する。入力デバイス203としては、たとえば、キーボード、マウス、タッチパネル、テンキー、スキャナがある。出力デバイス204は、データを出力する。出力デバイス204としては、たとえば、ディスプレイ、プリンタがある。通信IF205は、ネットワークと接続し、データを送受信する。
<アラート分析装置134の機能的構成例>
図3は、アラート分析装置134の機能的構成例を示すブロック図である。アラート分析装置134は、アラート判断集計部301と、ログ統計集計部302と、要因抽出部303と、重要度予測部304と、誤差要因抽出部305と、表示部306と、を有する。これらは、具体的には、たとえば、図2に示した記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより実現される機能である。
アラート判断集計部301は、アラート管理装置131からアラートを取得してアラート判断集計テーブル500を作成する。アラート判断情報とは、アラート(発生日時、アラート対象、通信相手)に、当該アラートの処理結果が追加された情報である。処理結果とは、当該アラートに対し、たとえば、「誤検知と判断」、「未対処の攻撃と判断」、「対処済みの攻撃と判断」、「未処理」のいずれかである。アラート判断集計テーブル500の詳細については後述する。
ログ統計集計部302は、ログ収集装置132からログを取得してログ統計集計テーブル600を作成する。ログ統計とは、収集したログ群のうち、アラート発生時のログに関する統計情報である。ログ統計には、たとえば、所定の分析期間内のキャッシュミス回数や、異常応答回数、アクセス回数、IPアドレス危険度、URL危険度などがある。ログ統計収集テーブルの詳細については後述する。
要因抽出部303は、アラート判断集計テーブル500内のアラート判断結果(学習データ)と、ログ統計集計テーブル600内のログ統計(学習データ)とを用いて、アラート判断につながった要因を抽出する。アラート判断結果(学習データ)とは、所定の分析期間内のアラート判断情報のうち学習データとして選ばれたアラート判断情報である。ログ統計(学習データ)とは、所定の分析期間内のログ統計のうち学習データとして選ばれたログ統計である。要因とは、そのアラートが発生した原因を示す情報である。たとえば、『ある期間内でのプロキシサーバのキャッシュミス回数が10〜15回』などがある。
要因抽出部303は、誤差要因抽出部305からの誤差要因結果を用いて、誤差要因に含まれる抽出要因の重みを低減することで、抽出要因結果を更新し、重要度予測部304に出力する。誤差要因とは、要因のうち、後述する予測モデル式から得られるアラートの重要度の予測値の誤差が発生する要因である。
重要度予測部304は、アラート判断結果(テストデータ)と要因抽出部303による要因抽出結果から、アラート重要度を予測する予測モデル式を作成する。アラート重要度とは、監視対象システム100からのアラートがどの程度重要であるかを示す指標値である。本例では、たとえば、アラートの処理結果が「誤検知」(攻撃でないのに攻撃と判断)を示すアラート重要度P1と、アラートで特定される攻撃に対しアラートの処理結果が「対処済み」であることを示すアラート重要度P2(>P1)と、アラートで特定される攻撃に対しアラートの処理結果が「未対処」であることを示すアラート重要度P3(>P2)と、がある。
また、重要度予測部304は、後述するログ統計集計テーブル600内のログ統計(テストデータ)を、作成した予測モデル式に与えることにより、アラート重要度の予測値(以下、重要度予測値)を算出し、アラート判断集計テーブル500内のアラート判断情報(テストデータ)を用いて、重要度予測値の予測誤差を求める。重要度予測部304は、最終的に、要因抽出部303からの更新された抽出要因結果を用いて、予測モデル式を更新する。
また、重要度予測部304は、ログ統計(予測対象データ)を更新された予測モデル式に与えることにより、重要度予測値を算出する。ログ統計(予測対象データ)とは、ログ統計集計テーブル600内で予測対象データとして選ばれたログ統計である。
誤差要因抽出部305は、重要度予測部304からの重要度予測値の予測誤差と、ログ統計(テストデータ)とを用いて、予測誤差につながった要因を抽出し、抽出した誤差要因結果を要因抽出部303に出力する。これにより、要因抽出部303は、抽出要因結果を更新することができる。
表示部306は、重要度予測部304からのログ統計(予測対象データ)についての予測結果をディスプレイに表示する。表示内容の詳細については後述する。
<アラート判断とログ統計集計の動作シーケンス例>
図4は、アラート判断とログ統計集計の動作シーケンス例を示すシーケンス図である。アラート判断集計部301が、たとえば、ユーザ操作により、処理済みのアラートの収集範囲を決定する(ステップS401)。処理済みのアラートとは、当該アラートのアラート判断集計部301による処理結果が「未処理」以外のアラートである。収集範囲とは、アラートを収集する期間であり、ここでは、アラート判断集計部301が、収集範囲を、過去のある時点から現在までの分析期間Tに決定したものとする。
アラート判断集計部301は、アラート管理装置131が収集したアラートをアラート管理装置131から受信する(ステップS402)。アラート判断集計部301は、受信したアラートのうち収集範囲内のアラートを用いて、アラート判断集計テーブル500を作成する(ステップS403)。アラート判断集計部301は、アラート判断集計テーブル500からのアラート判断情報をログ統計集計部302に送信する(ステップS404)。
ログ統計集計部302は、アラート判断集計部301からアラート判断情報を受信するとともに、ログ収集装置132からログを受信し(ステップS405)、外部脅威情報データベース133から外部脅威情報を受信する(ステップS406)。ログ統計集計部302は、受信したアラート判断情報、ログおよび外部脅威情報を用いて、アラート発生時のログ統計集計テーブル600を作成する(ステップS407)。
また、アラート判断集計部301は、分析期間T内におけるアラート判断結果のデータ種別を決定する(ステップS408)。データ種別は、たとえば、学習、テスト、および予測対象の3種類である。学習は、予測モデル式の作成に用いられるデータ種別であり、テストは、作成された予測モデル式に与えて重要度予測値を算出するためのデータ種別であり、予測対象は、誤差要因が考慮されて更新された予測モデル式に与えて重要度予測値を算出するためのデータ種別である。
<アラート判断集計テーブル500>
図5は、アラート判断集計テーブル500の一例を示す説明図である。アラート判断集計テーブル500は、アラート判断情報を収集するテーブルであり、アラート判断集計部301により作成され(ステップS403)、アラート分析装置134の記憶デバイス202に記憶される。アラート判断集計テーブル500は、アラート識別子501と、発生日時502と、アラート対象503と、通信相手504と、処理結果505と、重要度換算値506と、をフィールドとして有する。
アラート識別子501は、アラートを一意に特定する識別情報である。発生日時502は、アラートが発生した日付時刻である。アラート対象503は、アラートの発生元である。通信相手504は、アラート対象503が送信したデータの宛先またはアラート対象503にデータを送信した送信元である。アラート識別子501、発生日時502、アラート対象503、および通信相手504が、アラートを構成する。
処理結果505は、上述したように、当該アラートに対し、たとえば、「誤検知と判断」、「未対処の攻撃と判断」、「対処済みの攻撃と判断」、「未処理」のいずれかである。処理結果505は、アラート分析装置134が、ユーザ操作により入力された情報である(未入力の場合は「未処理」となる)。アラート識別子501、発生日時502、アラート対象503、通信相手504、および処理結果505がアラート判断結果を構成する。
重要度換算値506は、処理結果505を数値化した値である。重要度換算値506は、たとえば、0.0以上1.0以下の値の範囲をとる。本例では、処理結果505が「誤検知」の場合、重要度換算値506は「0.0」、処理結果505が「対処済み」の場合、重要度換算値506は「0.5」、処理結果505が「未対処の攻撃」の場合、重要度換算値506は「1.0」である。重要度換算値506が高いほど、危険性が高いことを示す。
<ログ統計集計テーブル600>
図6は、ログ統計集計テーブル600の一例を示す説明図である。ログ統計集計テーブル600は、ログ統計を収集するテーブルであり、ログ統計集計部302により作成され(ステップS407)、アラート分析装置134の記憶デバイス202に記憶される。ログ統計集計テーブル600は、アラート識別子501と、集計日時602と、プロキシサーバログ603と、業務サーバログ604と、外部脅威情報605と、をフィールドとして有する。
プロキシサーバログ603、業務サーバログ604、および外部脅威情報605以外にも監視対象システム100内の他のコンピュータ(クライアント端末111やFW/IPS114,123、ネットワーク監視装置113など)についてのログがあってもよいが、図6では省略する。集計日時602は、アラート識別子501で特定されるアラートの発生日時502から所定時間遡った時刻から一定時間間隔で発生日時502までログ収集装置132がログを集計した日付時刻である。
本例では、所定時間を1時間とし、一定時間間隔を10分とする。集計日時602は、一定時間間隔の終了時刻を示す。たとえば、集計日時602が「10/10 12:57」のエントリは、10/10の12:48から12:57までの10分間で集計されたログの統計(ログ統計)を示す。
たとえば、アラート識別子501が「Alert_005」であるアラートの発生日時502は「10/10 13:57」であるため(図5参照)、アラート識別子501が「Alert_005」であるアラートの集計日時602は、発生日時502である「10/10 13:57」から1時間遡った「10/10 12:57」と、「10/10 13:57」から10分刻みの「10/10 13:07」、「10/10 13:17」、「10/10 13:27」、「10/10 13:37」、「10/10 13:47」、および「10/10 13:57」(発生日時502)となる。このようにして、アラート発生時のログ統計の集計タイミングが設定される。
プロキシサーバログ603は、サブフィールドとして、キャッシュミス回数631と異常応答回数632とを有する。キャッシュミス回数631は、集計日時602においてプロキシサーバ116がキャッシュミスした回数である。異常応答回数632は、集計日時602においてプロキシサーバ116が異常応答を受信した回数である。なお、プロキシサーバログ603のサブフィールドは、キャッシュミス回数631や異常応答回数632以外(たとえば、通信バイト数)であってもよいが、図6では省略する。
業務サーバログ604は、サブフィールドとして、異常応答回数641とアクセス回数642とを有する。異常応答回数641は、集計日時602において業務サーバ112が異常応答を受信した回数である。アクセス回数642は、集計日時602で特定される一定時間間隔の集計期間において業務サーバ112が他のコンピュータ200にアクセスされた回数である。なお、業務サーバログ604のサブフィールドは、異常応答回数641やアクセス回数642以外(たとえば、認証失敗回数)であってもよいが、図6では省略する。
外部脅威情報605は、サブフィールドとして、IPアドレス危険度651とURL危険度652とを有する。IPアドレス危険度651は、集計日時602におけるアラート対象503の通信相手504がIPアドレスで特定された場合に、外部脅威情報データベース133において当該IPアドレスの危険度を段階的に示した指標値である。本例では、0〜5の6段階とし、5が最も危険度が高いことを示す。
URL危険度652は、集計日時602におけるアラート対象503の通信相手504がURLで特定された場合に、外部脅威情報データベース133において当該URLの危険度を段階的に示した指標値である。本例では、0〜5の6段階とし、5が最も危険度が高いことを示す。なお、外部脅威情報605のサブフィールドは、IPアドレス危険度651やURL危険度652以外であってもよいが、図6では省略する。
<データ種別管理テーブル700>
図7は、データ種別管理テーブル700の一例を示す説明図である。データ種別管理テーブル700は、アラートごとにデータ種別を規定するテーブルであり、アラート判断集計部301により作成され(ステップS408)、アラート分析装置134の記憶デバイス202に記憶される。データ種別管理テーブル700は、アラート識別子501と、分析期間(T−2)702と、分析期間(T−1)703と、分析期間(T)704と、をフィールドとして有する。
分析期間(T−2)702は、分析期間Tの2つ前にステップS401で決定された分析期間T−2における、アラートのデータ種別である。分析期間(T−1)703は、分析期間Tの1つ前にステップS401で決定された分析期間T−1における、アラートのデータ種別である。分析期間(T)704は、ステップS401で決定された最新の分析期間Tにおける、アラートのデータ種別である。
アラート判断集計部301は、分析期間T内で発生したアラートについて、ランダムにデータ種別を決定し、データ種別管理テーブル700に格納する。この場合、「学習」と「テスト」のデータ種別の比率があらかじめ設定されていてもよい。アラート判断集計部301は、分析期間T以降のアラート、すなわち、処理結果505が「未処理」のアラートのデータ種別を「予測対象」に決定する。
あらたな分析期間Tおよびデータ種別がステップS401、S408で決定される都度、分析期間(T−2)702、分析期間(T−1)703、および分析期間(T)704は更新され、当該決定前の最古の分析期間T−2のデータ種別は消去される。なお、分析期間T−3以前のフィールドもあってもよいが、図7では省略する。
なお、データ種別が「学習」であるアラート識別子501で特定されるアラートのアラート判断情報が、アラート判断結果(学習データ)であり、データ種別が「テスト」であるアラート識別子501で特定されるアラートのアラート判断情報が、アラート判断結果(テストデータ)である。
また、データ種別が「学習」であるアラート識別子501で特定されるログ統計(図6のエントリ)が、ログ統計(学習データ)であり、データ種別が「テスト」であるアラート識別子501で特定されるログ統計(図6のエントリ)が、ログ統計(テストデータ)であり、データ種別が「予測対象データ」であるアラート識別子501で特定されるログ統計(図6のエントリ)が、ログ統計(予測対象データ)である。
<分析期間Tのアラート重要度予測の動作シーケンス>
図8は、分析期間Tのアラート重要度予測の動作シーケンス例を示すシーケンス図である。アラート判断集計部301は、アラート判断結果(学習データ)を要因抽出部303に出力する(ステップS801)。また、ログ統計集計部302は、ログ統計(学習データ)を要因抽出部303および重要度予測部304に出力する。
要因抽出部303は、アラート判断集計テーブル500内のアラート判断結果(学習データ)と、ログ統計集計テーブル600内のログ統計(学習データ)とを用いて、抽出要因テーブル900を作成し、アラート判断につながった要因を抽出する(ステップS803)。ここで、要因抽出部303による要因抽出について具体的に説明する。
図9は、抽出要因テーブル900の一例を示す説明図である。抽出要因テーブル900は、要因項目901と、値域902と、第1相関度903と、重み904と、をフィールドとして有する。要因項目901は、抽出対象となる要因であり、ログ統計集計テーブル600のプロキシサーバログ603や業務サーバログ604、外部脅威情報605の各サブフィールドを示す。値域902は、要因項目901の値が取り得る範囲である。たとえば、要因項目901が「プロキシサーバ キャッシュミス回数」の値域902が「3〜4」となっている場合、プロキシサーバ116のキャッシュミス回数631が3〜4回である場合の第1相関度903が求められる。
第1相関度903は、アラート判断における要因項目901の値域902と重要度換算値506との相関を示す情報である。第1相関度903は、たとえば、ログ統計(学習データ)における値域902の出現回数をログ統計(学習データ)の集計回数で除算した値域902の出現頻度p1(発生確率)と、重要度換算値506(ここでは、重要度換算値qとする)と、の相関係数R1である。具体的には、たとえば、相関係数R1は、出現頻度p1の標準偏差σp1と、重要度換算値qの標準偏差σqと、出現頻度p1および重要度換算値qの共分散Sp1qと、により、下記式(1)で求められる。
R1=Sp1q/(σp1×σq)・・・(1)
ここで、出現頻度p1について詳細に説明する。図7に示したように、分析期間Tにおいてデータ種別が「学習」であるアラート識別子501は、「Alert_005」,「Alert_007」,「Alert_008」,「Alert_010」,および「Alert_011」である。要因抽出部303は、これらのアラート識別子501ごとに、出現頻度p1および重要度換算値qを求める。アラート識別子501が「Alert_005」で、かつ、要因項目901が「プロキシサーバ キャッシュミス回数」を例に挙げる。
図6に示したように、アラート識別子501が「Alert_005」であるプロキシサーバログ603のキャッシュミス回数631は、「3」(10/10 12:57)、「4」(10/10 13:07)、…、「4」(10/10 13:57)である。なお、集計日時602が「10/10 13:17」、「10/10 13:27」、「10/10 13:37」、および「10/10 13:47」のキャッシュミス回数631を「3」および「4」以外の値とする。
アラート識別子501が「Alert_005」であるプロキシサーバログ603のキャッシュミス回数631における値域902「3〜4」の出現回数は3回である。また、アラート識別子501が「Alert_005」であるプロキシサーバログ603のキャッシュミス回数631の集計回数は、「10/10 12:57」、「10/10 13:07」、「10/10 13:17」、「10/10 13:27」、「10/10 13:37」、「10/10 13:47」、および「10/10 13:57」の7回である。したがって、アラート識別子501が「Alert_005」であるプロキシサーバログ603のキャッシュミス回数631における値域902「3〜4」の出現頻度p1は、3/7である。また、アラート識別子501が「Alert_005」である重要度換算値qは、「0」である(図5を参照)。
要因抽出部303は、データ種別が「学習」であるアラート識別子501ごとに、出現頻度p1と重要度換算値qとの組み合わせを求め、各出現頻度p1から出現頻度p1の標準偏差σp1を求め、各重要度換算値qから重要度換算値qの標準偏差σqを求め、さらに、共分散Sp1qを求める。そして、要因抽出部303は、上記式(1)により、データ種別が「学習」であるアラート識別子501についての要因項目901「プロキシサーバ キャッシュミス回数」の値域902「3〜4」の相関係数R1(=−0.54)を算出する。
相関係数R1が正の相関の場合(R1>0)、アラート判断が正しく、相関係数R1が高いほど要因項目901による危険度が高いことを示す。逆に、相関係数R1が負の相関の場合(R1<0)、アラート判断が間違っている、すなわち、誤検知であり、相関係数R1が低いほど、要因項目901による危険度が低く、誤検知が多発していることを示す。このように、要因項目901と値域902との組み合わせごとに第1相関度が求められるため、要因項目901と値域902とのどの組み合わせにアラート判断につながった要因があるかを統計的に抽出することができる。
重み904は、要因項目901と値域902の組み合わせの重要度を示す。重み904は、0.0以上1.0以下の範囲を取り、初期値を1.0とする。第1相関度が正の相関係数R1になると、要因抽出部303は、対応する重み904を低下させる。重み904は上述した出現頻度p1と乗算して、予測モデル式の作成に用いられる。したがって、重み904が低下すると、その出現頻度p1、すなわち、要因項目901および値域902の組み合わせの影響度が低下して、予測モデル式が更新される。
図8に戻り、要因抽出部303は、抽出要因結果(抽出要因テーブル900から得られた出現頻度p1および重要度換算値q)を重要度予測部304に出力する(ステップS804)。重要度予測部304は、アラート判断結果(学習データ)、ログ統計(学習データ)、および抽出要因結果を用いて、予測モデル式を作成する(ステップS805)。ここで、目的変数Yを重要度換算値506、説明変数XnをP(要因項目901+値域902)とする。ただし、P(Z)は、事象Zの発生確率(出現頻度p1)を表す。説明変数Xiは、抽出要因テーブル900を参照することで、
X1=P(プロキシサーバ キャッシュミス回数[3〜4])
X2=P(プロキシサーバ キャッシュミス回数[10〜15])
・・・
などとする。このとき、予測モデル式の一例として、下記式(2)のような重回帰式が作成される。nは、要因項目901および値域902との組み合わせの総数、すなわち、事象Zの総数である。
Figure 0006845819
ここで、ログ統計(学習データ)のエントリk(たとえば、Alert_005に関する目的変数Yと説明変数Xnの組み合わせ)に対する目的変数Yの値をy_k(重要度換算値q=(0.0)、説明変数X1の値をx1_k(出現頻度p1=3/7)、説明変数X2の値をx2_k、・・・、説明変数Xnの値をxn_kとすれば、上記式(2)の各係数b0、b1、b2、・・・、bnは、一例として下記式(3)のような行列式によって求めることができる。式(3)中、iは、ログ統計(学習データ)のエントリ1〜kの任意のエントリを示す。
Figure 0006845819
上記式(3)による予測モデル式の作成方法は一例であり、一般的に知られている正則化や決定木、アンサンブル学習、ニューラルネットワーク、ベイジアンネットワークなどの手法を用いて導出してもよい。
アラート判断集計部301は、アラート判断結果(テストデータ)を重要度予測部304に出力し(ステップS806)、ログ統計集計部302は、ログ統計(テストデータ)を重要度予測部304に出力する(ステップS807)。
重要度予測部304は、テストデータに対してアラート重要度を予測する(ステップS808)。具体的には、たとえば、重要度予測部304は、ログ統計(テストデータ)の説明変数x1_k、x2_k、…xn_kを予測モデル式に与えることにより、重要度予測値y_kを算出する。
つぎに、重要度予測部304は、誤差テーブル1000を作成して、ステップS808で算出した重要度予測値と、アラート判断結果(テストデータ)に含まれる重要度換算値506と、の予測誤差を、アラート識別子501ごとに算出する(ステップS809)。ここで、誤差テーブル1000について説明する。
図10は、誤差テーブル1000の一例を示す説明図である。誤差テーブル1000は、アラート識別子501と、重要度換算値506と、重要度予測値1001と、予測誤差1002とを、フィールドとして有する。重要度予測値1001は、そのアラート識別子501について予測モデル式から算出された予測値である。重要度予測値1001は、重要度換算値506と同様、たとえば、0.0以上1.0以下の値の範囲をとる。本例では、重要度予測値1001が0.0以上0.3未満であれば「誤検知」、0.3以上0.7未満であれば「対処済み」、0.7以上1以下であれば「未対処の攻撃」であることを示す。重要度予測値1001が高いほど、危険性が高いことを示す。
予測誤差1002は、重要度予測値1001の誤差を示す値である。具体的には、たとえば、予測誤差1002は、重要度換算値506と重要度予測値1001との差分を丸めた値である。差分が許容範囲内であれば、予測が当たっていることを示し、重要度予測部304は、予測誤差1002を「0」に設定する。たとえば、アラート識別子501が「Alert_006」のエントリでは、差分が「0.13」であり、許容範囲内とする。この場合、予測誤差1002は「0」に設定される。
一方、差分が許容範囲外であれば、予測が外れていることを示し、重要度予測部304は、予測誤差1002を「1」に設定する。たとえば、アラート識別子501が「Alert_009」のエントリでは、差分が「0.46」であり、許容範囲外とする。この場合、予測誤差1002は「1」に設定される。
図8に戻り、重要度予測部304は、図8の点線枠の処理の繰り返し終了確認を実行する(ステップS810)。図8の点線枠の処理の繰り返しは、予測モデル式の更新(再作成)を示す。図8の点線枠の処理の繰り返し試行の終了条件について具体的に説明する。
図11は、図8の点線枠の処理の繰り返し試行の終了条件を示す説明図である。図11は、横軸を図8の点線枠の処理の繰り返し試行回数1101、縦軸を誤差件数1102とするグラフ1103を示す。誤差件数1102は、誤差テーブル1000の予測誤差1002の値が「1」の個数である。繰り返し試行回数1101が増加するにしたがって、予測モデル式が更新されるため、誤差件数が減少傾向になる。繰り返し試行回数1101がN回目でしきい値1104を下回った場合、図8の点線枠の処理の繰り返しが終了する。
図8に戻り、点線枠の処理の繰り返しが終了していない場合、重要度予測部304は、誤差結果を誤差要因抽出部305に出力する(ステップS811)。誤差結果とは、アラート識別子501ごとの予測誤差1002である。また、ログ統計集計部302は、ログ統計(テストデータ)を誤差要因抽出部305に出力する(ステップS812)。
誤差要因抽出部305は、誤差結果(予測誤差1002)とログ統計(テストデータ)とを用いて誤差要因テーブル1200を作成し、誤差につながった要因である誤差要因を抽出する(ステップS813)。ここで、誤差要因抽出部305による誤差要因抽出について具体的に説明する。
図12は、誤差要因テーブル1200の一例を示す説明図である。誤差要因テーブル1200は、抽出要因テーブル900と同様に作成される。誤差要因テーブル1200は、要因項目901と、値域902と、第2相関度1203と、をフィールドとして有する。要因項目901の値は、抽出要因テーブル900と同じである。値域902は、要因項目901の値が取り得る範囲であるが、誤差要因テーブル1200の場合、ログ統計(テストデータ)のエントリにより設定される。
第2相関度1203は、アラート判断における要因項目901の値域902と予測誤差1002との相関を示す情報である。第2相関度1203は、たとえば、ログ統計(テストデータ)における値域902の出現回数をログ統計(テストデータ)の集計回数で除算した値域902の出現頻度p2(発生確率)と、予測誤差1002(ここでは、予測誤差eとする)と、の相関係数R2である。具体的には、たとえば、相関係数R2は、出現頻度p2の標準偏差σp2と、予測誤差eの標準偏差σeと、出現頻度p2および予測誤差eの共分散Sp2eと、により、下記式(4)で求められる。
R2=Sp2e/(σp2×σe)・・・(4)
なお、出現頻度p2の求め方は、用いるアラート識別子501が、分析期間Tにおいてデータ種別が「テスト」であるアラート識別子501であること以外は、出現頻度p1と同じである。相関係数R2が正の相関の場合(R2>0)、相関係数R2が高いほど、その要因項目901は予測誤差1002を生む要因であることを示す。逆に、相関係数R2が負の相関の場合(R2<0)、相関係数R2が低いほど、その要因項目901は予測誤差1002を生む要因ではないことを示す。このように、要因項目901と値域902との組み合わせごとに第2相関度1203が求められるため、要因項目901と値域902とのどの組み合わせに予測誤差1002につながった要因があるかを統計的に抽出することができる。
図8に戻り、誤差要因抽出部305は、誤差要因結果を要因抽出部303に出力する(ステップS814)。誤差要因結果とは、第2相関度1203(相関係数R2)が正の相関(R2>0)である要因項目901および値域902との組み合わせである。図12の例では、誤差要因結果は、エントリ1211〜1215における要因項目901および値域902との組み合わせである。
要因抽出部303は、誤差要因抽出部305からの誤差要因結果を参照して、誤差要因に含まれる抽出要因の重み904を減らす(ステップS815)。具体的には、たとえば、要因抽出部303は、誤差要因結果に該当する要因項目901および値域902の組み合わせが存在するエントリを抽出要因テーブル900から特定する。そして、要因抽出部303は、特定したエントリのうち第1相関度903が正の相関(R1>0)のエントリの重み904を低減させて更新する。
図13は、更新後の抽出要因テーブル900の一例を示す説明図である。誤差要因結果に該当する要因項目901および値域902との組み合わせが、上述したエントリ1211〜1215の場合、要因抽出部303は、エントリ1211〜1215のうち、要因項目901および値域902が一致するエントリ1301〜1303を特定する。そして、要因抽出部303は、特定したエントリ1301〜1303のうち第1相関度903が正の相関(R1>0)のエントリ1301,1302の重み904を低減させて更新する。
図13は、特定したエントリ1301,1302の重み904が「1.0」から「0.5」に低減された例である。低減量は、一例として「0.5」としたが、0より大きく1以下の範囲であれば、ユーザが任意に設定可能である。重み904を0よりも大きく1.0よりも小さい値に低減させることで、予測誤差に影響を与えている要因(=誤差要因)の重要度予測精度の悪化を抑制することができる。さらに、重み904を0にすることで、予測誤差に影響を与えている要因(=誤差要因)を取り除き、予測精度の悪化をより効果的に抑制することができる。
図8に戻り、要因抽出部303は、更新した抽出要因結果を重要度予測部304に出力する(ステップS816)。具体的には、たとえば、要因抽出部303は、更新後の抽出要因テーブル900を重要度予測部304に参照可能にする。重要度予測部304は、更新後の抽出要因テーブル900を参照して、アラート判断結果(学習データ)、ログ統計(学習データ)、および更新後の抽出要因結果を用いて、ステップS805と同様の処理により、予測モデル式を再作成(更新)する(ステップS817)。そして、ステップS808に戻る。
具体的には、たとえば、重要度予測部304は、説明変数Xnの重みをWnとした場合、一例として、下記式(5)により説明変数X´nに変換する。
Figure 0006845819
重要度予測部304は、予測モデル式を再作成する場合、説明変数XnをX´nに置き換えて、上記式(2)の係数b0、b1、b2、・・・、bnを再計算することになる。
一方、ステップS810の繰り返しの終了条件の確認において、繰り返しの終了条件を満たした場合、点線枠の繰り返し試行が終了する。この場合、ログ統計集計部302は、ログ統計(予測対象データ)を重要度予測部304に出力する(ステップS818)。この場合、重要度予測部304は、ログ統計(予測対象データ)を更新された予測モデル式に与えることにより、重要度予測値1001を算出する(ステップS820)。ログ統計(予測対象データ)とは、ログ統計集計テーブル600内で予測対象データとして選ばれたログ統計である。このあと、重要度予測部304は、予測結果を表示部306に出力する(ステップS821)。重要度予測値1001の出力画面表示例について説明する。
<重要度予測値1001の出力画面表示例>
図14は、重要度予測値1001の出力画面表示例を示す説明図である。出力画面1400は、アラート通知タブ1401を有する。アラート通知タブ1401は、アラートリスト1402と、予測モデル式の作成に用いた要因1403と、予測モデル式を悪化させる要因(予測モデル式の予測精度を低下させる要因)1404と、を表示する。これらは、表示部306が、予測結果を用いて生成する。
すなわち、重要度予測部304からの予測結果には、ステップS820で算出した重要度予測値1001のほか、当該重要度予測値1001を求めるために予測モデル式に与えられたログ統計(予測対象データ)に関連するアラート判断情報(図5)が含まれる。
たとえば、ログ統計(予測対象データ)のアラート識別子501が「Alert_013」,「Alert_014」であれば、アラート判断集計テーブル500のアラート識別子501が「Alert_013」,「Alert_014」のエントリにおける発生日時502、アラート対象503および通信相手504が、予測結果に含まれるアラート判断情報となる。表示部306は、このアラート判断情報とステップS820で算出した重要度予測値1001とをアラート識別子501で関連付けて、アラートリスト1402として出力画面1400に表示する。
また、重要度予測値1001からの予測結果には、予測モデル式の作成に用いた要因1403である要因項目901および値域902との組み合わせ(図13の重み904が「1.0」のエントリ)が含まれてもよい。表示部306は、この図13の重み904が「1.0」のエントリを、予測モデル式の作成に用いた要因1403として出力画面1400に表示する。
また、重要度予測値1001からの予測結果には、予測モデル式を悪化させる要因1404である要因項目901および値域902との組み合わせ(図13の重み904が「1.0」でないエントリ)が含まれてもよい。表示部306は、この図13の重み904が「1.0」でないエントリを、予測モデル式を悪化させる要因1404として出力画面1400に表示する。
なお、本実施例では、表示部306が予測結果を表示することとしたが、アラート分析装置134は、他のコンピュータに予測結果を送信してもよい。この場合、予測結果の宛先のコンピュータが予測結果を表示してもよい。
<要因抽出処理>
図15は、要因抽出部303による要因抽出処理手順例を示すフローチャートである。要因抽出部303は、アラート判断集計部301から、学習データに分類されたアラート判断結果を取得する(ステップS1501)。ステップS1501は図8のステップS801に対応する。要因抽出部303は、ログ統計集計部302から、学習データに分類されたアラートのログ統計を取得する(ステップS1502)。ステップS1502は図8のステップS802に対応する。要因抽出部303は、アラート判断結果とログ統計とを分析し、アラート判断に繋がったログ統計の要因を抽出する(ステップS1503)。ステップS1503は図8のステップS803に対応する。
要因抽出部303は、重要度予測部304に、抽出要因結果を渡す(ステップS1504)。ステップS1504は図8のステップS804に対応する。要因抽出部303は、誤差要因抽出部305から、誤差要因結果を取得する(ステップS1505)。ステップS1505は図8のステップS814に対応する。要因抽出部303は、現在の抽出要因テーブル900に対して、正相関の誤差要因に含まれる項目の重み904を減らす(ステップS1506)。ステップS1506は図8のステップS815に対応する。
要因抽出部303は、重要度予測部304に、更新した抽出要因結果を渡す(ステップS1507)。ステップS1507は図8のステップS801に対応する(ステップS816)。要因抽出部303は、繰り返し試行が終了したか否かを判断する(ステップS1508)。ステップS1508は図8のステップS810に対応する。終了していない場合(ステップS1508:No)、ステップS1505に戻る。終了した場合(ステップS1508:Yes)、要因抽出部303は要因抽出処理を終了する。
<重要度予測処理>
図16は、重要度予測部304による重要度予測処理手順例を示すフローチャートである。重要度予測部304は、要因抽出部303から、抽出要因結果を取得する(ステップS1601)。ステップS1601は図8のステップS804に対応する。重要度予測部304は、抽出要因を用いて予測モデル式を作成する(ステップS1602)。ステップS1602は図8のステップS805に対応する。
重要度予測部304は、アラート判断集計部301から、テストデータに分類されたアラート判断結果を取得する(ステップS1603)。ステップS1603は図8のステップS806に対応する。重要度予測部304は、ログ統計集計部302から、テストデータに分類されたアラートのログ統計を取得する(ステップS1604)。ステップS1604は図8のステップS807に対応する。
重要度予測部304は、要因抽出部303から、テストデータに対して、アラート重要度を予測する(ステップS1605)。ステップS1605は図8のステップS808に対応する。重要度予測部304は、予測値と実際の判断結果とを比較して、誤差を出す(ステップS1606)。ステップS1606は図8のステップS809に対応する。
重要度予測部304は、誤差件数がしきい値以下であるか否かを判断する(ステップS1607)。ステップS1607は図8のステップS810に対応する。誤差件数がしきい値以下でない場合(ステップS1607:No)、重要度予測部304は、誤差要因抽出部305に予測値の誤差結果を渡す(ステップS1608)。ステップS1601は図8のステップS811に対応する。
重要度予測部304は、要因抽出部303から、更新された抽出要因結果を取得する(ステップS1609)。ステップS1609は図8のステップS816に対応する。重要度予測部304は、要因抽出部303から、更新された抽出要因を用いて予測モデル式を再作成して(ステップS1610)、ステップS1605に戻る。ステップS1610は図8のステップS817に対応する。一方、ステップS1607において、誤差件数がしきい値以下でない場合(ステップS1607:No)、重要度予測部304は、図8の点線枠で示した繰り返し試行を終了する。
なお、上述した説明では、監視対象システムへの攻撃に対するアラートについて説明したが、アラート以外の事象にも適用可能である。たとえば、電力需要予測に適用した場合、たとえば、目的変数Yを1時間当たりの電力需要、説明変数Xnを過去数時間分の電力需要の変動、各地点の気象データ(天気、気温、湿度、風向、風速、気圧、日照など)、各地点の人口流動統計、カレンダー情報(曜日、祝日など)、太陽光発電量など、とすることにより、アラート分析装置134は、前日までの1時間毎の電力需要と、各時間での説明変数Xnのデータを元に学習を行って予測モデル式を作成し、テストデータを与えて予測誤差を求めることで予測モデル式を再作成して最適化することにより、翌日の1時間毎の電力需要を予測することができる。
また、売上予測に適用した場合、たとえば、目的変数Yを1週間での店舗売上金額、説明変数Xnを商品分類(生鮮品、惣菜、一般食品、日用品、衣料品など)ごとの売り場面積、商品分類ごとの顧客滞留時間、商品分類ごとの広告掲載数、顧客データ(来店者数、性別、年代、職業、住所など)などとすることにより、過去における各店舗の1週間毎の売上金額と各週での説明変数のデータを元に学習を行って予測モデル式を作成し、テストデータを与えて予測誤差を求めることで予測モデル式を再作成して最適化することにより、翌週の店舗売上金額を予測することができる。
(1)このように、本実施例のアラート分析装置134は、事象群の中の第1事象(データ種別:テストのアラート)の要因に対する第1出現頻度(ログ統計(テストデータ)の説明変数x1_k、x2_k、…xn_k)を予測モデル式に与えることで得られる第1予測値(重要度予測値y_k)と、第1出現頻度に対応する結果(重要度換算値506)と、に基づいて、第1予測値の予測誤差を算出する予測誤差算出処理(S809)と、事象群の中の第2事象(データ種別:予想対象のアラート)の要因に対する第2出現頻度(出現頻度p2)と、予測誤差算出処理によって算出された予測誤差と、の相関(第2相関度1203)に基づいて、第1事象の要因の中から予測誤差の誤差要因(エントリ1211〜1215の要因項目901および値域902)を抽出する誤差要因抽出処理(S813)と、を実行する。これにより、予測誤差の誤差要因を特定することができる。したがって、ユーザは、特定された誤差要因を考慮して、事象が発生しないように対策を取ることができる。
(2)また、上記(1)のアラート分析装置134は、事象群の中の第3事象(データ種別:学習のアラート)の要因に対する第3出現頻度(出現頻度p1)と、第3出現頻度に対応する結果(重要度換算値q)と、に基づいて、前記予測モデル式を作成する作成処理を実行する。このように、学習データを用いて予測モデル式を事前に作成することにより、予測モデル式を学習することができる。
(3)また、上記(1)のアラート分析装置134において、前記事象群は、所定の時点以降に発生した事象の集合である。このように、所定の時点以降に発生した事象を用いることにより、換言すれば、当該事象以前の過去の事象を用いないことにより、監視対象システム100への攻撃が変化して既に事象の特性が変わっている場合にも、過去の判断要因に引きずられることなく、誤差要因を特定することができる。
(4)また、上記(1)のアラート分析装置134において、記憶デバイス202は、第1事象の要因の重要度を示す重み904を記憶しており、アラート分析装置134は、第1事象の要因のうち誤差要因抽出処理によって抽出された誤差要因(エントリ1211〜1215の要因項目901および値域902)の重み904を他の要因の重み904よりも低くなるように設定する設定処理(ステップS816)と、事象群の中の第3事象の要因に対する第3出現頻度(出現頻度p1)と、第3出現頻度に対応する結果(重要度換算値q)と、設定処理によって設定された誤差要因の重み904と、他の要因の重み904と、に基づいて、予測モデル式を更新する更新処理(ステップS817)と、を実行する。このように、誤差要因による影響が低くなるように予測モデル式を更新することにより、予測値の予測精度の向上を図ることができる。
(5)また、上記(4)のアラート分析装置134は、予測誤差算出処理では、更新処理による更新後の予測モデル式に第1出現頻度を与えることで得られる第1予測値と、第1出現頻度に対応する結果と、に基づいて、第1予測値の予測誤差を、算出する。このように、更新された予測モデル式を用いて予測誤差を再算出することにより、予測誤差を小さくすることができ、誤差要因の絞り込みの効率化を図ることができる。
(6)また、上記(4)のアラート分析装置134は、更新処理による更新後の予測モデル式に、第2出現頻度(出現頻度p2)を与えることにより、第2事象の第2予測値を算出する予測値算出処理(ステップS819)と、予測値算出処理によって算出された第2予測値を出力する出力処理(ステップS821)と、を実行する。このように、更新された予測モデル式に、予測対象データを与えることにより、事象の予測値を算出することにより、当該予測値の予測精度の向上を図ることができる。
(7)また、上記(6)のアラート分析装置134は、第2事象の件数のうち第1予測値と第1結果との間に許容範囲外の誤差がある誤差件数に基づいて、設定処理(ステップS816)および更新処理(ステップS817)を試行するか否かを判断する判断処理(ステップS810)を実行し、判断処理による判断結果に基づいて、設定処理(ステップS816)および更新処理(ステップS817)を試行する。このように、データ種別がテストである第2事象のうち、重要度予測値1003と重要度換算値506との間に許容範囲外の誤差がある誤差件数により、予測モデル式の更新処理の試行を判断するため、予測モデル式の更新頻度を調整することができる。
(8)また、上記(7)のアラート分析装置134は、誤差件数がしきい値以上である場合、設定処理(ステップS816)および更新処理(ステップS817)を試行する。このように、誤差件数がしきい値以上の場合、予測モデル式の更新処理を試行するため、誤差件数がしきい値未満となるまで、予測モデル式の更新処理が繰り返されることになり、予測モデル式から算出される予測値の高精度化を図ることができる。
(9)また、上記(7)のアラート分析装置134は、誤差件数がしきい値以上でない場合、予測値算出処理(ステップS819)および出力処理(ステップS821)を試行する。このように、誤差件数がしきい値以上でない場合、予測値の算出を実行するため、誤差件数がしきい値以上では予測値は算出されない。したがって、予測モデル式から算出される予測値の精度低下を抑制することができる。
(10)また、上記(6)のアラート分析装置134は、予測モデル式の更新に用いられた要因を出力する。このように、予測モデル式の更新に用いられた要因を出力することにより、どの要因が予測モデル式の更新に寄与したかを把握することができる。
(11)また、上記(6)のアラート分析装置134は、第3事象(データ種別:学習のアラート)の要因に対する第3出現頻度(出現頻度p1)と、第3出現頻度に対応する結果(重要度換算値q)と、の相関(第1相関度903)を求め、当該相関(第1相関度903)と誤差要因(エントリ1211〜1215の要因項目901および値域902)とに基づいて、第3事象の要因の中から予測モデル式の精度を低下させる要因(エントリ1301,1302の要因項目901および値域902)を抽出する要因抽出処理(ステップS803、S815)を実行し、出力処理(ステップS821)では、要因抽出処理によって抽出された要因(エントリ1301,1302の要因項目901および値域902)を出力する。このように、予測モデル式の精度を低下させる要因(エントリ1301,1302の要因項目901および値域902)を抽出することにより、どの要因が予測モデル式の精度に悪影響を与えたかを把握することができる。
以上説明したように、本実施例によれば、アラート重要度の予測に用いる特徴量の次元(要因項目の種類)、または値域またはその両方が多岐に渡っても、アラート重要度の予測精度の低下を抑制することができる。また、アラート重要度の予測に用いる特徴量の次元(要因項目の種類)、または値域またはその両方が多岐に渡っても、予測誤差を与える要因である誤差要因を取り除くことができ、監視対象システムの大規模化し、またサイバー攻撃の手口が日々変化し増加しても、アラート重要度の予測精度を向上することができる。その結果、将来に渡って持続可能なSOC130の運用の実現に貢献することができる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、IC(Integrated Circuit)カード、SDカード、DVD(Digital Versatile Disc)の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
100 監視対象システム
131 アラート管理装置
132 ログ収集装置
133 外部脅威情報データベース
134 アラート分析装置
301 アラート判断集計部
302 ログ統計集計部
303 要因抽出部
304 重要度予測部
305 誤差要因抽出部
306 表示部
500 アラート判断集計テーブル
600 ログ統計集計テーブル
700 データ種別管理テーブル
900 抽出要因テーブル
1000 誤差テーブル
1200 誤差要因テーブル

Claims (13)

  1. プロセッサと、事象群の要因に対する結果を予測する予測モデル式を記憶する記憶デバイスと、を有する分析装置であって、
    前記プロセッサは、
    前記事象群の中の第1事象の要因に対する第1出現頻度を前記予測モデル式に与えることで得られる第1予測値と、前記第1出現頻度に対応する結果と、に基づいて、前記第1予測値の予測誤差を算出する予測誤差算出処理と、
    前記事象群の中の第2事象の要因に対する第2出現頻度と、前記予測誤差算出処理によって算出された予測誤差と、の相関に基づいて、前記第1事象の要因の中から前記予測誤差の誤差要因を抽出する誤差要因抽出処理と、
    を実行することを特徴とする分析装置。
  2. 請求項1に記載の分析装置であって、
    前記プロセッサは、
    前記事象群の中の第3事象の要因に対する第3出現頻度と、前記第3出現頻度に対応する結果と、に基づいて、前記予測モデル式を作成する作成処理を実行し、
    前記予測誤差算出処理では、前記プロセッサは、前記第1出現頻度を前記作成処理によって作成された予測モデル式に与えることで得られる第1予測値と、前記第1出現頻度に対応する結果と、に基づいて、前記第1予測値の予測誤差を算出する、
    ことを特徴とする分析装置。
  3. 請求項1に記載の分析装置であって、
    前記事象群は、所定の時点以降に発生した事象の集合である、
    ことを特徴とする分析装置。
  4. 請求項1に記載の分析装置であって、
    前記記憶デバイスは、前記第1事象の要因の重要度を示す重みを記憶しており、
    前記プロセッサは、
    前記第1事象の要因のうち前記誤差要因抽出処理によって抽出された誤差要因の重みを他の要因の重みよりも低くなるように設定する設定処理と、
    前記事象群の中の第3事象の要因に対する第3出現頻度と、前記第3出現頻度に対応する結果と、前記設定処理によって設定された前記誤差要因の重みと、前記他の要因の重みと、に基づいて、前記予測モデル式を更新する更新処理と、
    を実行することを特徴とする分析装置。
  5. 請求項4に記載の分析装置であって、
    前記予測誤差算出処理では、前記プロセッサは、前記更新処理による更新後の予測モデル式に前記第1出現頻度を与えることで得られる第1予測値と、前記第1出現頻度に対応する結果と、に基づいて、前記第1予測値の予測誤差を、算出する、
    ことを特徴とする分析装置。
  6. 請求項4に記載の分析装置であって、
    前記プロセッサは、
    前記更新処理による更新後の予測モデル式に、前記第2出現頻度を与えることにより、前記第2事象の第2予測値を算出する予測値算出処理と、
    前記予測値算出処理によって算出された第2予測値を出力する出力処理と、
    を実行することを特徴とする分析装置。
  7. 請求項6に記載の分析装置であって、
    前記プロセッサは、
    前記第2事象の件数のうち前記第1予測値と第1結果との間に許容範囲外の誤差がある誤差件数に基づいて、前記設定処理および前記更新処理を試行するか否かを判断する判断処理を実行し、
    前記プロセッサは、前記判断処理による判断結果に基づいて、前記設定処理および前記更新処理を試行する、
    ことを特徴とする分析装置。
  8. 請求項7に記載の分析装置であって、
    前記プロセッサは、前記誤差件数がしきい値以上である場合、前記設定処理および前記更新処理を試行する、
    ことを特徴とする分析装置。
  9. 請求項7に記載の分析装置であって、
    前記プロセッサは、前記誤差件数がしきい値以上でない場合、前記予測値算出処理および前記出力処理を試行する、
    ことを特徴とする分析装置。
  10. 請求項6に記載の分析装置であって、
    前記出力処理では、前記プロセッサは、前記予測モデル式の更新に用いられた要因を出力する、
    ことを特徴とする分析装置。
  11. 請求項6に記載の分析装置であって、
    前記プロセッサは、
    前記第3事象の要因に対する第3出現頻度と、前記第3出現頻度に対応する結果と、の相関を求め、当該相関と前記誤差要因とに基づいて、前記第3事象の要因の中から前記予測モデル式の精度を低下させる要因を抽出する要因抽出処理を実行し、
    前記出力処理では、前記プロセッサは、前記要因抽出処理によって抽出された要因を出力する、
    ことを特徴とする分析装置。
  12. プロセッサと、事象群の要因に対する結果を予測する予測モデル式を記憶する記憶デバイスと、を有する分析装置による分析方法であって、
    前記プロセッサは、
    前記事象群の中の第1事象の要因に対する第1出現頻度を前記予測モデル式に与えることで得られる第1予測値と、前記第1出現頻度に対応する結果と、に基づいて、前記第1予測値の予測誤差を算出する予測誤差算出処理と、
    前記事象群の中の第2事象の要因に対する第2出現頻度と、前記予測誤差算出処理によって算出された予測誤差と、の相関に基づいて、前記第1事象の要因の中から前記予測誤差の誤差要因を抽出する誤差要因抽出処理と、
    を実行することを特徴とする分析方法。
  13. 事象群の要因に対する結果を予測する予測モデル式を記憶する記憶デバイスにアクセス可能なプロセッサに、
    前記事象群の中の第1事象の要因に対する第1出現頻度を前記予測モデル式に与えることで得られる第1予測値と、前記第1出現頻度に対応する結果と、に基づいて、前記第1予測値の予測誤差を算出する予測誤差算出処理と、
    前記事象群の中の第2事象の要因に対する第2出現頻度と、前記予測誤差算出処理によって算出された予測誤差と、の相関に基づいて、前記第1事象の要因の中から前記予測誤差の誤差要因を抽出する誤差要因抽出処理と、
    を実行させることを特徴とする分析プログラム。
JP2018030182A 2018-02-22 2018-02-22 分析装置、分析方法、および分析プログラム Expired - Fee Related JP6845819B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2018030182A JP6845819B2 (ja) 2018-02-22 2018-02-22 分析装置、分析方法、および分析プログラム
PCT/JP2018/030206 WO2019163160A1 (ja) 2018-02-22 2018-08-13 分析装置、分析方法、および分析プログラム
US16/644,892 US11507881B2 (en) 2018-02-22 2018-08-13 Analysis apparatus, analysis method, and analysis program for calculating prediction error and extracting error factor
CA3074663A CA3074663C (en) 2018-02-22 2018-08-13 Alert analysis server and method of operation thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018030182A JP6845819B2 (ja) 2018-02-22 2018-02-22 分析装置、分析方法、および分析プログラム

Publications (2)

Publication Number Publication Date
JP2019144970A JP2019144970A (ja) 2019-08-29
JP6845819B2 true JP6845819B2 (ja) 2021-03-24

Family

ID=67688332

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018030182A Expired - Fee Related JP6845819B2 (ja) 2018-02-22 2018-02-22 分析装置、分析方法、および分析プログラム

Country Status (3)

Country Link
US (1) US11507881B2 (ja)
JP (1) JP6845819B2 (ja)
WO (1) WO2019163160A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11568331B2 (en) * 2011-09-26 2023-01-31 Open Text Corporation Methods and systems for providing automated predictive analysis
WO2020236131A1 (en) * 2019-05-17 2020-11-26 Schlumberger Technology Corporation System and method for managing wellsite event detection
US20210133670A1 (en) 2019-11-05 2021-05-06 Strong Force Vcn Portfolio 2019, Llc Control tower and enterprise management platform with a machine learning/artificial intelligence managing sensor and the camera feeds into digital twin
WO2021092260A1 (en) 2019-11-05 2021-05-14 Strong Force Vcn Portfolio 2019, Llc Control tower and enterprise management platform for value chain networks
AU2020379834A1 (en) 2019-11-05 2022-06-09 Strong Force Vcn Portfolio 2019, Llc Control tower and enterprise management platform for value chain networks
US11455695B2 (en) * 2019-12-16 2022-09-27 Saudi Arabian Oil Company System and method for modelling and forecasting electricity demand
JP7409978B2 (ja) * 2020-06-22 2024-01-09 株式会社日立製作所 リスク評価システムおよびリスク評価方法
US20220122038A1 (en) * 2020-10-20 2022-04-21 Kyndryl, Inc. Process Version Control for Business Process Management
US11445225B2 (en) * 2020-10-27 2022-09-13 Akamai Technologies, Inc. Measuring and improving origin offload and resource utilization in caching systems
JP7517223B2 (ja) * 2021-03-29 2024-07-17 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
US12026680B2 (en) * 2021-09-01 2024-07-02 Caterpillar Inc. System and method for inferring machine failure, estimating when the machine will be repaired, and computing an optimal solution
US20230153843A1 (en) * 2021-11-12 2023-05-18 Oracle International Corporation System to combine intelligence from multiple sources that use disparate data sets
US11722350B2 (en) * 2021-11-15 2023-08-08 L3Harris Technologies, Inc. Systems and methods for synchronize word correlation
JP2023183023A (ja) * 2022-06-15 2023-12-27 三菱電機株式会社 アラート峻別装置、アラート峻別方法およびアラート峻別プログラム
CN115016423B (zh) * 2022-08-04 2022-11-01 珠海市鸿瑞信息技术股份有限公司 基于协议分析的工控系统运维管控系统及方法
WO2024091840A1 (en) * 2022-10-25 2024-05-02 PTO Genius, LLC Systems and methods for exhaustion mitigation and organization optimization
DE112023005364T5 (de) 2022-12-19 2025-10-02 Panasonic Automotive Systems Co., Ltd. Informationsbenachrichtigungsverfahren und Informationsbenachrichtigungsvorrichtung
JP7611633B2 (ja) * 2022-12-19 2025-01-10 パナソニックオートモーティブシステムズ株式会社 情報通知方法及び情報通知装置
CN117240554B (zh) * 2023-09-19 2024-05-07 海通证券股份有限公司 安全事件的治理方法及电子设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3994910B2 (ja) * 2003-05-08 2007-10-24 株式会社日立製作所 電力売買支援システム
JP2009003561A (ja) * 2007-06-19 2009-01-08 Fuji Xerox Co Ltd 故障予測診断装置及びこれを用いた故障予測診断システム
JP2013073489A (ja) * 2011-09-28 2013-04-22 Nifty Corp 情報処理装置、情報処理方法、及び、プログラム
JP6012868B2 (ja) * 2013-07-10 2016-10-25 三菱電機株式会社 熱負荷予測装置、配信システム、熱負荷予測方法及びプログラム
WO2016063446A1 (ja) * 2014-10-24 2016-04-28 日本電気株式会社 説明変数表示優先順位決定システム、方法およびプログラム
US11057399B2 (en) 2015-06-26 2021-07-06 Nec Corporation Information processing device, information processing system, information processing method, and storage medium for intrusion detection by applying machine learning to dissimilarity calculations for intrusion alerts
JP6603600B2 (ja) 2015-06-30 2019-11-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 需要予測方法、需要予測装置及び需要予測プログラムを記録したコンピュータ読み取り可能な記録媒体
US11593817B2 (en) * 2015-06-30 2023-02-28 Panasonic Intellectual Property Corporation Of America Demand prediction method, demand prediction apparatus, and non-transitory computer-readable recording medium
JP6477423B2 (ja) * 2015-11-02 2019-03-06 オムロン株式会社 製造プロセスの予測システムおよび予測制御システム

Also Published As

Publication number Publication date
WO2019163160A1 (ja) 2019-08-29
JP2019144970A (ja) 2019-08-29
CA3074663A1 (en) 2019-08-29
US20200210894A1 (en) 2020-07-02
US11507881B2 (en) 2022-11-22

Similar Documents

Publication Publication Date Title
JP6845819B2 (ja) 分析装置、分析方法、および分析プログラム
US11882146B2 (en) Information technology security assessment system
US11245713B2 (en) Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events
US11863573B2 (en) Custom triggers for a network security event for cybersecurity threat intelligence
US8621637B2 (en) Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems
JP7033560B2 (ja) 分析装置および分析方法
US20220335347A1 (en) Time-series anomaly prediction and alert
US12547941B2 (en) Context-based anomaly detection
US12395512B2 (en) Detecting data exfiltration and compromised user accounts in a computing network
EP3647982A1 (en) Cyber attack evaluation method and cyber attack evaluation device
TW202312710A (zh) 服務異常偵測告警方法、使用此方法的設備、儲存此方法的儲存媒介及產生異常告警之電腦軟體程式
Yang et al. An adaptive IoT network security situation prediction model
CN111865899A (zh) 威胁驱动的协同采集方法及装置
US10819732B1 (en) Computing device, software application, and computer-implemented method for system-specific real-time threat monitoring
US20250039209A1 (en) Detecting data exfiltration and compromised user accounts in a computing network
Kohlrausch et al. Arima supplemented security metrics for quality assurance and situational awareness
US12574417B2 (en) Automatic tuning of management system for incident alert control
JP2022024277A (ja) 分析システム、分析装置、分析方法
CA3074663C (en) Alert analysis server and method of operation thereof
WO2020255512A1 (ja) 監視システム、および、監視方法
JP7302668B2 (ja) レベル推定装置、レベル推定方法、および、レベル推定プログラム
EP4523113A1 (en) Systems and methods for dynamic vulnerability scoring

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210226

R150 Certificate of patent or registration of utility model

Ref document number: 6845819

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees