| Item type |
SIG Technical Reports(1) |
| 公開日 |
2024-03-11 |
| タイトル |
|
|
タイトル |
IoT向けのSecurity Operation Centerにおける大規模言語モデルと集合間類似度を用いたレポートの再利用 |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
セキュリティマネジメント・SoC |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
NTTセキュリティホールディングス株式会社 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
NTTセキュリティホールディングス株式会社 |
| 著者所属 |
|
|
|
NTTセキュリティホールディングス株式会社 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security Holdings Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security Holdings Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security Holdings Corporation |
| 著者名 |
松林, 勝
芝原, 俊樹
小山, 卓麻
田中, 政志
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
莫大な数の Internet of Things (IoT) 機器に対して同様のサイバー攻撃を行う大規模攻撃が脅威となっている.大規模攻撃が発生した場合,IoT 機器を監視している Security Operation Center の分析官は,莫大な数の IoT 機器のアラートを分析し,類似したレポートを大量に作成する必要がある.このとき,最初に作成したレポートが,他の IoT 機器のレポートとしても再利用可能か自動的に判定(再利用判定)できれば,アラート分析とレポート作成の大部分を効率化できる.しかし,レポートの再利用判定に既存手法を応用するには,教師データの不足や精度の低さといった課題がある.そこで本稿では,大規模言語モデルと集合間類似度を組み合わせた手法を提案し,教師データが少量でも高精度なレポートの再利用判定を実現する.提案手法では,少量の教師データで fine-tuningしたSentence ALBERT を活用して,レポートとの関連度合いに基づいた重みをアラートに付与する.そして,レポートの根拠となったアラートの集合と判定対象のアラートの集合の重み付き Jaccard 係数が閾値以上であれば,レポートを再利用可能と判定する.本稿では,IoT 機器を模擬した環境で攻撃を実行しながら収集したアラートと人手で作成したレポートを用いて提案手法を評価した.その結果,教師データが少量でも提案手法の True Positive Rate (TPR) と False Positive Rate (FPR) が 80.79% と 3.00% となることを示した.また,FPR ≈ 3.0% のカットオフでは,提案手法の TPR が既存手法よりも 19% 以上高くなることを示した. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN10116224 |
| 書誌情報 |
研究報告マルチメディア通信と分散処理(DPS)
巻 2024-DPS-198,
号 3,
p. 1-8,
発行日 2024-03-11
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8906 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-DPS24198003.pdf (745.7 kB)
