特許ウォッチ

公開番号2025121739
公報種別公開特許公報(A)
公開日2025-08-20
出願番号2024017405
出願日2024-02-07
発明の名称情報処理装置、情報処理方法および情報処理プログラム
出願人NTT株式会社
代理人弁理士法人酒井国際特許事務所
主分類G06F 21/55 20130101AFI20250813BHJP(計算;計数)
要約【課題】特定の事象に対するアラートの集合を既存のレポートに集約可能か否かを適切に判断すること。
【解決手段】本実施形態に係る情報処理装置100は、重み付け部121と類似度計算部123と、判定部124とを有する。重み付け部121は、特定の事象に対するアラートのそれぞれについて、集約先のレポートの内容との相関を示す重みを付与する。類似度計算部123は、重み付け部121によって付与された重みに基づき、集約先のレポートのアラートの集合である第一の集合と、集約候補のアラートの集合である第二の集合との集合間の類似度を計算する。判定部124は、類似度計算部123によって計算された類似度により、集約候補のアラートが集約先のレポートに集約可能か否かを判定する。
【選択図】図5
特許請求の範囲【請求項１】
特定の事象に対するアラートのそれぞれについて、集約先のレポートの内容との相関を示す重みを付与する重み付け部と、
前記重み付け部によって付与された重みに基づき、集約先のレポートのアラートの集合である第一の集合と、集約候補のアラートの集合である第二の集合との集合間の類似度を計算する類似度計算部と、
前記類似度計算部によって計算された類似度により、前記集約候補のアラートが前記集約先のレポートに集約可能か否かを判定する判定部と、
を有することを特徴とする情報処理装置。
続きを表示（約 1,400 文字）【請求項２】
特定の事象に対するアラートのそれぞれについて、集約先のレポートの内容との相関を示す重みを付与する重み付け部と、
集約先のレポートのアラートの集合である第一の集合と、集約候補のアラートの集合である第二の集合とについて、前記重み付け部によって付与された重みに基づき、一方の集合が有するアラートの一部を他方の集合に追加するアラート追加部と、
前記アラート追加部によって一部のアラートが追加された前記第一の集合と前記第二の集合との集合間の類似度を計算する類似度計算部と、
前記類似度計算部によって計算された類似度により、前記集約候補のアラートが前記集約先のレポートに集約可能か否かを判定する判定部と、
を有することを特徴とする情報処理装置。
【請求項３】
前記類似度計算部は、前記アラート追加部によって一部のアラートが追加された前記第一の集合と前記第二の集合とについて、各アラートに付与された重みに基づき、集合間の類似度を計算する
ことを特徴とする請求項２に記載の情報処理装置。
【請求項４】
前記判定部は、複数の前記第一の集合のそれぞれと第二の集合とについて計算された類似度を比較し、前記類似度が閾値以上かつ最大値である第一の集合の集約先のレポートに、前記集約候補のアラートを集約可能であると判定する
ことを特徴とする請求項１～３のいずれか一つに記載の情報処理装置。
【請求項５】
前記重み付け部は、大規模言語モデルにより、前記アラートとサイバー攻撃の種類に対応する集約先のレポートの内容とについて、それぞれのベクトルのコサイン類似度に基づき設定された重みを、前記アラートのそれぞれに付与する
ことを特徴とする請求項１または２に記載の情報処理装置。
【請求項６】
過去に作成されたレポートと、前記レポートと関連づくアラートと、前記レポートに関連づかないアラートとを一組の教師データとして用いて、前記大規模言語モデルの学習を行う学習部をさらに有する
ことを特徴とする請求項５に記載の情報処理装置。
【請求項７】
情報処理装置によって実行される情報処理方法であって、
特定の事象に対するアラートのそれぞれについて、集約先のレポートの内容との相関を示す重みを付与する重み付け工程と、
前記重み付け工程によって付与された重みに基づき、集約先のレポートのアラートの集合である第一の集合と、集約候補のアラートの集合である第二の集合との集合間の類似度を計算する類似度計算工程と、
前記類似度計算工程によって計算された類似度により、前記集約候補のアラートが前記集約先のレポートに集約可能か否かを判定する判定工程と、
を含んだことを特徴とする情報処理方法。
【請求項８】
特定の事象に対するアラートのそれぞれについて、集約先のレポートの内容との相関を示す重みを付与する重み付け手順と、
前記重み付け手順によって付与された重みに基づき、集約先のレポートのアラートの集合である第一の集合と、集約候補のアラートの集合である第二の集合との集合間の類似度を計算する類似度計算手順と、
前記類似度計算手順によって計算された類似度により、前記集約候補のアラートが前記集約先のレポートに集約可能か否かを判定する判定手順と、
をコンピュータに実行させるための情報処理プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、情報処理装置、情報処理方法および情報処理プログラムに関する。
続きを表示（約 2,100 文字）【背景技術】
【０００２】
近年、コネクテッドカーの普及により、自動車へのサイバー攻撃が増加している。これに伴い、自動車へのサイバー攻撃が発生した場合に、自動車に搭載されているセキュリティセンサが発報するアラートの集合を分析し、分析結果をレポートとしてまとめることが重要となっている。
【０００３】
自動車は、メーカや車種、年式が同一の場合には、ネットワークの構成やＥＣＵ（Electronic Controller Unit）、ソフトウェア等の車両構成や内在する脆弱性が酷似する。そのため、ある自動車に対して何らかの攻撃が実行された際には、車両構成や脆弱性が酷似する他の複数の自動車に対しても同一の攻撃が大規模に実行され得る。
【０００４】
複数の自動車に対して同一の攻撃が実行された場合には、自動車ごとにレポートをまとめると内容が酷似したレポートが大量に作成されることになる。そのため、新たなレポートが既に作成されたレポートに集約可能かどうかを、Jaccard係数等の類似度を計算することにより判断し、新たに作成するレポートを削減するという手法が考えられる。
【先行技術文献】
【非特許文献】
【０００５】
Jaccard, Paul, “The Distribution of the Flora in the Alpine Zone.” New Phytologist, Vol.11, No.2, pp.37-50, 1912.
【発明の概要】
【発明が解決しようとする課題】
【０００６】
しかし、上記の従来技術では、特定の事象に対するアラートの集合を既存のレポートに集約可能か否かを適切に判断することができない場合がある。例えば、上記の従来技術では、アラート集合の要素と集約先のレポートのアラート集合の要素とで同一要素が多い場合には、レポートの内容と相関が強い要素が異なっている場合であっても、アラートを集約する場合がある。また、反対に、アラート集合の要素と集約先のレポートのアラート集合の要素とで同一要素が少ない場合には、レポートの内容と相関が強い要素が同一である場合であっても、アラートを集約しない場合がある。
【課題を解決するための手段】
【０００７】
上述した課題を解決し、目的を達成するために、本発明の情報処理装置は、特定の事象に対するアラートのそれぞれについて、集約先のレポートの内容との相関を示す重みを付与する重み付け部と、重み付け部によって付与された重みに基づき、集約先のレポートのアラートの集合である第一の集合と、集約候補のアラートの集合である第二の集合との集合間の類似度を計算する類似度計算部と、類似度計算部によって計算された類似度により、集約候補のアラートが集約先のレポートに集約可能か否かを判定する判定部とを有することを特徴とする。
【発明の効果】
【０００８】
本発明によれば、特定の事象に対するアラートの集合を既存のレポートに集約可能か否かを適切に判断することができるという効果を奏する。
【図面の簡単な説明】
【０００９】
図１は、実施形態に係るアラートとレポートとの関係を示す図である。
図２は、従来技術に係るアラートの集約方法の一例を示す図である。
図３は、従来技術に係るアラートの集約方法における課題を示す図である。
図４は、実施形態に係るアラートの集約システムを示す図である。
図５は、実施形態に係る情報処理装置の構成例を示す図である。
図６は、実施形態に係る情報処理装置に記憶されるデータの一例を示す図である。
図７は、実施形態に係る重み付け部による処理の具体例を示す図である。
図８は、実施形態に係る大規模言語モデルの学習に使用するデータセットの具体例を示す図である。
図９は、実施形態に係るアラート追加部の処理の具体例を示す図である。
図１０は、実施形態に係る判定部の処理の具体例を示す図である。
図１１は、実施形態に係る情報処理装置の全体的な処理の流れを示す図である。
図１２は、実施形態に係る情報処理の流れの一例を示すフローチャートである。
図１３は、実施形態に係る情報処理の流れの一例を示すフローチャートである。
図１４は、情報処理プログラムを実行するコンピュータの一例を示す図である。
【発明を実施するための形態】
【００１０】
以下に、本願に係る情報処理装置、情報処理方法および情報処理プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係る情報処理装置、情報処理方法および情報処理プログラムが限定されるものではない。
（【００１１】以降は省略されています）

関連特許