WO2022153412A1 - スコア統合装置、スコア統合方法、および、スコア統合プログラム - Google Patents
スコア統合装置、スコア統合方法、および、スコア統合プログラム Download PDFInfo
- Publication number
- WO2022153412A1 WO2022153412A1 PCT/JP2021/000919 JP2021000919W WO2022153412A1 WO 2022153412 A1 WO2022153412 A1 WO 2022153412A1 JP 2021000919 W JP2021000919 W JP 2021000919W WO 2022153412 A1 WO2022153412 A1 WO 2022153412A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- score
- model
- scores
- integration device
- parameters
- Prior art date
Links
- 230000010354 integration Effects 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims description 33
- 238000011156 evaluation Methods 0.000 claims abstract description 27
- 230000006870 function Effects 0.000 claims description 53
- 238000004364 calculation method Methods 0.000 claims description 13
- 238000010801 machine learning Methods 0.000 claims description 9
- 230000001186 cumulative effect Effects 0.000 claims description 2
- 238000012913 prioritisation Methods 0.000 abstract description 15
- 238000012545 processing Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000009826 distribution Methods 0.000 description 5
- 230000010365 information processing Effects 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 3
- 238000011478 gradient descent method Methods 0.000 description 2
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Definitions
- CVSS Common Vulnerability Scoring System
- the priority ranked by the score of each viewpoint and the score obtained by integrating the scores of each viewpoint are integrated.
- an evaluation function that evaluates how much the priority is ranked based on the score calculated by the model that calculates the vulnerability
- the priority is ranked according to the score of each of the above viewpoints. It is characterized by including a parameter search unit that searches for parameters of the model that calculates a score that is maintained as much as possible, and a parameter setting unit that sets the searched parameters in the model.
- FIG. 1 is a diagram showing a configuration example of a score integration device of each embodiment.
- FIG. 2 is a flowchart showing an example of a processing procedure of the score integration device of each embodiment.
- FIG. 3 is a diagram for explaining an outline of operation of the score integration device of the first embodiment.
- FIG. 4 is a diagram for explaining an outline of operation of the score integration device of the second embodiment.
- FIG. 5 is a diagram showing a configuration example of a computer that executes a score integration program.
- a score integration device is given a set of vulnerabilities given two or more prioritized scores from different perspectives (eg, the CVSS value of a vulnerability and the probability that the vulnerability will be attacked).
- a new score is calculated so as to maintain the priority based on the score of each viewpoint as much as possible.
- the score integration device considers the priority based on the score from each viewpoint for the scores with different distribution of values, such as the CVSS value of the vulnerability and the value of the probability that an attack will occur in the vulnerability. And the scores can be integrated.
- a model M (V, V,) that gives a score integration device a set of vulnerabilities v n ⁇ V and a set of prioritization functions f m ⁇ F and outputs an integrated prioritization score r n ⁇ R.
- the score integration device searches for a parameter set ⁇ of the model M that maintains the priority based on fm as much as possible.
- the value of fm is, for example, a value calculated by a predetermined calculation formula such as CVSS , a value calculated by a machine learning model, or a value of a probability that an attack will occur.
- sm , n ⁇ S m be the score of f m or the true score of f m for the vulnerability set V.
- the evaluation value of the ordering between the integrated score R and S m is set to E (S m , R) using the evaluation function E.
- the function H that integrates the values of the evaluation function is defined as the objective function.
- the score integration device searches the parameter set ⁇ of the model M that maximizes H by using the objective function H defined by using the evaluation function E.
- a method according to the model M is used from the error back propagation method, the gradient descent method, and the like.
- nDCG normalized Discounted Cumulative Gain
- H integrated function
- harmonic mean, arithmetic mean, geometric mean, and the like can be used, but the integrated function is not limited thereto.
- nDCG is described in the following document 1.
- the score integration device 10 includes an input / output unit 11, a storage unit 12, and a control unit 13.
- the input / output unit 11 controls the input / output of various information.
- the input / output unit 11 receives, for example, input of a set of vulnerabilities, a prioritization function for each vulnerability, and the like. Further, the input / output unit 11 outputs a score (prioritizing score) for each vulnerability calculated by the control unit 13.
- the storage unit 12 stores information referred to when the control unit 13 executes various processes.
- the storage unit 12 stores a model M for calculating a score obtained by integrating the scores of the two or more viewpoints for a set of vulnerabilities to which the scores of the two or more viewpoints are given.
- this model M for example, initial values of parameters are set in the initial state, and when the parameters of the model are searched by the control unit 13, the searched parameters are set.
- the control unit 13 controls the entire score integration device 10.
- the control unit 13 includes a parameter search unit 131, a parameter setting unit 132, and a score calculation unit 133.
- the parameter search unit 131 searches for the parameters of the model M that maintain the priority of the set of vulnerabilities as much as possible, which is ranked by the scores of two or more viewpoints. For example, the parameter search unit 131 evaluates how much the priority ranked by the scores of two or more viewpoints for the vulnerability is the same as the priority ranked by the score calculated by the model M. Prepare the evaluation function E. Then, the parameter search unit 131 searches for the parameters of the model M that maximizes the objective function H, with the function defined by the evaluation function E as the objective function H (E).
- the parameter setting unit 132 sets the parameters searched by the parameter search unit 131 in the model M.
- the score calculation unit 133 calculates and outputs the score of each vulnerability by the model M in which the searched parameters are set.
- the parameter search unit 131 searches for a parameter of the model M that maintains the ranking of each viewpoint as much as possible for a set of vulnerabilities to which scores of two or more viewpoints are given (S1). After that, the parameter setting unit 132 sets the searched parameters in the model M (S2). Then, the score calculation unit 133 calculates and outputs the prioritization score of each vulnerability using the model M in which the parameter is set (S3).
- the parameter search unit 131 of the score integration device 10 calculates the prioritization score of the vulnerability V by the above F. Then, the parameter search unit 131 maximizes the objective function H by machine learning using the above-mentioned vulnerabilities V, F, S, and the score calculated by the above-mentioned F, and the evaluation function E and the objective function H. Search for the parameter ⁇ of the model M to be converted. Then, the parameter setting unit 132 sets the searched parameter ⁇ in the model M.
- the score calculation unit 133 of the score integration device 10 calculates the prioritization score of the vulnerability V'by F. Then, the score calculation unit 133 calculates and outputs a score R that integrates the prioritized scores by F for the vulnerability V'using the calculated score and the model M in which the above parameter ⁇ is set. do.
- the score integration device 10 can set the parameter ⁇ for the model M learned by machine learning, and calculate the score R in which the prioritized scores by F are integrated for the vulnerability.
- the score integration device 10 may calculate the score for each vulnerability as follows.
- the score integration device 10 searches for the optimum parameter ⁇ of the model M by the mathematical programming method using a differentiable evaluation function as the evaluation function E.
- the constraint formula is a constraint formula in which the degree of influence of a specific fm of high importance such as CVSS exceeds a predetermined level.
- the score integration device 10 described above will be described as the score integration device 10 of the second embodiment.
- the parameter search unit 131 of the score integration device 10 considers a case where a set of vulnerabilities v n ⁇ V and a set of prioritizing functions f m ⁇ F are given, as shown in FIG.
- the score integration device 10 calculates the prioritization score of the vulnerability V by F.
- the score integration device 10 uses the above V, F, the score calculated by the above F, the evaluation function E, the objective function H, and the set C of the constraint equations, and uses the parameters of the model M by the mathematical programming method. Search for ⁇ .
- the parameter setting unit 132 sets the searched parameter ⁇ in the model M.
- the score integration device 10 sets the parameter ⁇ for the model M even if sm , n ⁇ S m does not contain the true score of the prioritization function, and the vulnerability depends on F. It is possible to calculate the score R by integrating the prioritized scores.
- RankDCG is an evaluation function that improves nDCG and is described in Reference 2 below. Further, a differentiable approximation of nDCG is described in Document 3 below.
- the score integration device 10 introduces a constraint ((1- ⁇ ) / ⁇ ) ⁇ L that sets the weight of f exp to L or less with respect to the weight of f cvss in order to emphasize f cvss. Also, the harmonic mean is used as the objective function H (E). Since this is a nonlinear programming problem, the score integration device 10 uses the gradient descent method to find the parameter ⁇ that maximizes the objective function H. Next, the score integration device 10 sets the above parameter ⁇ in the model shown in the equation (1). Then, the score integration device 10 calculates and outputs the score R of each vulnerability using the model shown in the equation (1) in which the parameter ⁇ is set.
- the score integration device 10 described above can be implemented by installing a program as package software or online software on a desired computer. For example, by causing the information processing device to execute the above program, the information processing device can function as the score integration device 10 of each embodiment.
- the information processing device referred to here includes a desktop type or notebook type personal computer.
- information processing devices include smartphones, mobile communication terminals such as mobile phones and PHS (Personal Handyphone System), and terminals such as PDAs (Personal Digital Assistants).
- the score integration device 10 can be implemented as a server device in which the terminal device used by the user is a client and the service related to the above processing is provided to the client.
- the server device may be implemented as a Web server, or may be implemented as a cloud that provides services related to the above processing by outsourcing.
- FIG. 10 is a diagram showing an example of a computer that executes a score integration program.
- the computer 1000 has, for example, a memory 1010 and a CPU 1020.
- the computer 1000 also has a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. Each of these parts is connected by a bus 1080.
- the program module 1093 and the program data 1094 are not limited to those stored in the hard disk drive 1090, but may be stored in, for example, a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and the program data 1094 may be stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.). Then, the program module 1093 and the program data 1094 may be read by the CPU 1020 from another computer via the network interface 1070.
- LAN Local Area Network
- WAN Wide Area Network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
スコア統合装置(10)は、異なる観点の2つ以上のスコアについて、2つ以上のスコアそれぞれを統合したスコアを算出するモデルを備える。このスコア統合装置(10)は、脆弱性に対する上記の2つ以上の異なる観点のスコアにより順位付けされる優先順位と、上記のモデルにより出力されるスコアにより順位付けされる優先順位付けとがどの程度同じかを評価する評価関数を用いて、脆弱性それぞれについて、上記の2つ以上のスコアにより順位付けされる優先順位を可能な限り維持するモデルのパラメータを探索する。そして、スコア統合装置(10)は、探索されたパラメータをモデルに設定し、脆弱性それぞれの優先順位付けスコアを算出し、出力する。
Description
本発明は、脆弱性への対処の優先順位付けを行うための、スコア統合装置、スコア統合方法、および、スコア統合プログラムに関する。
近年、ソフトウェアの脆弱性の公開件数は増加傾向にあるが、組織は限られたリソースで脆弱性への対処を行う必要がある。このため、脆弱性への対処の優先順位付けが重要である。
従来、脆弱性への対処の優先順位付けは、CVSS(Common Vulnerability Scoring System)により算出されるCVSS値に基づき行われていた。このCVSS値は、0-10の値をとり、脆弱性のCVSS値が高いほど、悪用された場合の深刻度が高いことを示す。
また、機械学習により得られた攻撃の予測モデルにより、脆弱性に対し攻撃が発生する確率を予測し、予測した確率を用いて、脆弱性への対処の優先順位付けを行う技術が提案されている。ここで、上記の予測モデルは特定の製品にしか適用できない等の限界があるため、深刻な脆弱性(CVSS値が高い脆弱性)が無視されてしまう可能性がある。よって、実用上は、脆弱性の深刻度と、攻撃が発生する確率との両方の観点を組み合わせた優先順位付けが求められる。
独立行政法人 情報処理推進機構、「共通脆弱性評価システムCVSS概説」、[2020年12月23日検索]、インターネット<URL:https://www.ipa.go.jp/security/vuln/CVSS.html>
M. Bozorgi, L. K. Saul, S. Savage, and G. M. Voelker. "Beyond Heuristics: Learning to Classify Vulnerabilities and Predict Exploits". In Proc. of SIGKDD‘10, pages 105-114. ACM, 2010.
ここで、脆弱性の深刻度と、攻撃が発生する確率との両方の観点を組み合わせた優先順位付けを行う方法として、例えば、それぞれの観点で求めたスコアの和を求める方法、スコアの積を求める方法等が考えられる。
しかし、脆弱性の深刻度のスコアと、攻撃が発生する確率のスコアとの間でスコアの値の分布が異なる。そのため、例えば、それぞれの観点で求めたスコアの和を求める方法では、脆弱性の深刻度が極端に重視される傾向がある。また、それぞれの観点で求めたスコアの積を用いる方法は、予測モデルの出力するスコアが極端に重視される傾向があるという問題がある。
そこで、本発明は、前記した問題を解決し、異なる観点で求めたスコア等、値の分布が異なるスコアについて、それぞれのスコアによる順位付けを考慮し、統合したスコアを求めることを課題とする。
前記した課題を解決するため、異なる観点の2つ以上のスコアが付与された脆弱性の集合について、それぞれの観点のスコアにより順位付けされる優先順位と、前記それぞれの観点のスコアを統合したスコアを算出するモデルにより算出されるスコアに基づき順位付けされる優先順位とがどの程度同じかを評価する評価関数を用いて、前記脆弱性について、前記それぞれの観点のスコアにより順位付けされる優先順位が可能な限り維持されるスコアを算出する前記モデルのパラメータを探索するパラメータ探索部と、前記探索されたパラメータを前記モデルに設定するパラメータ設定部と、を備えることを特徴とする。
本発明によれば、異なる観点で求めたスコア等、値の分布が異なるスコアについて、それぞれのスコアによる順位付けを考慮し、統合したスコアを求めることができる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)を第1の実施形態および第2の実施形態に分けて説明する。本発明は、各実施形態に限定されない。
[概要]
まず、各実施形態のスコア統合装置の概要を説明する。例えば、スコア統合装置は、異なる観点の2つ以上の優先順位付けスコア(例えば、脆弱性のCVSS値と、当該脆弱性に攻撃が発生する確率の値)が付与された脆弱性の集合が与えられた際に、それぞれの観点のスコアに基づく優先順位をできるだけ維持するような、新たなスコアを算出する。これにより、スコア統合装置は、脆弱性のCVSS値と、当該脆弱性に攻撃が発生する確率の値等のように、値の分布が異なるスコアについて、それぞれの観点によるスコアに基づく優先順位を考慮してスコアを統合することができる。
まず、各実施形態のスコア統合装置の概要を説明する。例えば、スコア統合装置は、異なる観点の2つ以上の優先順位付けスコア(例えば、脆弱性のCVSS値と、当該脆弱性に攻撃が発生する確率の値)が付与された脆弱性の集合が与えられた際に、それぞれの観点のスコアに基づく優先順位をできるだけ維持するような、新たなスコアを算出する。これにより、スコア統合装置は、脆弱性のCVSS値と、当該脆弱性に攻撃が発生する確率の値等のように、値の分布が異なるスコアについて、それぞれの観点によるスコアに基づく優先順位を考慮してスコアを統合することができる。
例えば、スコア統合装置に、脆弱性集合vn∈Vと、優先順位付け関数の集合fm∈Fとが与えられ、統合された優先順位付けスコアrn∈Rを出力するモデルM(V,F)を構築する場合を考える。この場合、スコア統合装置は、fmに基づく優先順位をできるだけ維持するようなモデルMのパラメータ集合Φを探索する。ここでの、fmの値は、例えば、CVSSのように所定の計算式により算出される値や、機械学習モデルにより算出される、攻撃が発生する確率の値等である。
例えば、スコア統合装置は、fmのスコア、または、fmが機械学習モデルである場合は学習の教師データである真のスコアと、モデルMにより出力されるスコアRとの間でスコアに基づく優先順位付けがどの程度同じかを評価する評価関数を定義する。そして、スコア統合装置は、定義された評価関数を用いて、モデルMの最適なパラメータ集合Φを探索する。なお、モデルMには、例えば、線形モデル、一般化加法モデル、深層学習モデル等を用いることができる。
ここで、脆弱性集合Vに対する、fmのスコアまたはfmの真のスコアをsm,n∈Smとする。また、統合されたスコアRとSmとの間の順序付けの評価値を、評価関数Eを用いてE(Sm,R)とする。さらに、評価関数の値を統合する関数Hを、目的関数として定義する。
スコア統合装置は、評価関数Eを用いて定義される目的関数Hを用いて、Hを最大化するモデルMのパラメータ集合Φを探索する。探索には、例えば、誤差逆伝搬法、勾配降下法等の中から、モデルMに応じた手法を用いる。
評価関数Eには、nDCG(normalized Discounted Cumulative Gain)等の情報検索で用いられる評価関数や、これらの評価関数の微分可能な近似を用いることができる。目的関数Hである統合関数には、例えば、調和平均、算術平均、幾何平均等を用いることができるが、これに限定されるものではない。なお、nDCGについては、以下の文献1に記載されている。
文献1:https://en.wikipedia.org/wiki/Discounted_cumulative_gain
このようなスコア統合装置によれば、脆弱性に対し、異なる観点で求めたスコアについて、それぞれの観点での順位付けを考慮し、統合したスコアを求めることができる。
[構成例]
図1を用いて、スコア統合装置10の構成例を説明する。スコア統合装置10は、入出力部11と、記憶部12と、制御部13とを備える。
図1を用いて、スコア統合装置10の構成例を説明する。スコア統合装置10は、入出力部11と、記憶部12と、制御部13とを備える。
入出力部11は、各種情報の入出力を司る。入出力部11は、例えば、脆弱性の集合や、脆弱性それぞれの優先順位付け関数等の入力を受け付ける。また、入出力部11は、制御部13により算出された、脆弱性それぞれのスコア(優先順位付けスコア)を出力する。
記憶部12は、制御部13が各種処理を実行する際に参照する情報を記憶する。例えば、記憶部12は、2つ以上の観点のスコアが付与された脆弱性の集合について、当該2つ以上の観点のスコアそれぞれを統合したスコアを算出するモデルMを記憶する。このモデルMには、例えば、初期の状態ではパラメータの初期値が設定され、制御部13により当該モデルのパラメータが探索されると、探索されたパラメータが設定される。
制御部13は、スコア統合装置10全体の制御を司る。制御部13は、パラメータ探索部131と、パラメータ設定部132と、スコア算出部133とを備える。
パラメータ探索部131は、脆弱性の集合について、2つ以上の観点のスコアにより順位付けされる優先順位を可能な限り維持するモデルMのパラメータを探索する。例えば、パラメータ探索部131は、脆弱性に対する2つ以上の観点のスコアにより順位付けされる優先順位と、モデルMにより算出されるスコアにより順位付けされる優先順位とがどの程度同じかを評価する評価関数Eを用意する。そして、パラメータ探索部131は、上記の評価関数Eにより定義される関数を目的関数H(E)とし、目的関数Hを最大化するモデルMのパラメータを探索する。
パラメータ設定部132は、パラメータ探索部131により探索されたパラメータをモデルMに設定する。スコア算出部133は、探索されたパラメータが設定されたモデルMにより、脆弱性それぞれのスコアを算出し、出力する。
このようなスコア統合装置10によれば、脆弱性に対し、異なる観点で求めたスコアについて、それぞれの観点でのスコアによる順位付けを考慮し、統合したスコアを求めることができる。
[処理手順の例]
次に、図2を用いてスコア統合装置10の処理手順の例を説明する。例えば、パラメータ探索部131は、2つ以上の観点のスコアが付与された脆弱性の集合について、それぞれの観点の順位をできるだけ維持するモデルMのパラメータを探索する(S1)。その後、パラメータ設定部132は、探索されたパラメータをモデルMに設定する(S2)。そして、スコア算出部133は、パラメータが設定されたモデルMを用いて、脆弱性それぞれの優先順位付けスコアを算出し、出力する(S3)。
次に、図2を用いてスコア統合装置10の処理手順の例を説明する。例えば、パラメータ探索部131は、2つ以上の観点のスコアが付与された脆弱性の集合について、それぞれの観点の順位をできるだけ維持するモデルMのパラメータを探索する(S1)。その後、パラメータ設定部132は、探索されたパラメータをモデルMに設定する(S2)。そして、スコア算出部133は、パラメータが設定されたモデルMを用いて、脆弱性それぞれの優先順位付けスコアを算出し、出力する(S3)。
[第1の実施形態]
ここで、sm,n∈Smに優先順位付け関数の真のスコアが含まれる場合、モデルMとして機械学習モデル、評価関数Eとして微分可能な評価関数を用いることができる。この場合のスコア統合装置10を第1の実施形態のスコア統合装置10として説明する。スコア統合装置10が行う処理は、モデルMのパラメータの探索を行う学習フェーズと、パラメータが設定されたモデルMを用いて、脆弱性それぞれのスコアを算出するスコア算出フェーズとに分けられる。図3を用いて、学習フェーズとスコア算出フェーズとを説明する。
ここで、sm,n∈Smに優先順位付け関数の真のスコアが含まれる場合、モデルMとして機械学習モデル、評価関数Eとして微分可能な評価関数を用いることができる。この場合のスコア統合装置10を第1の実施形態のスコア統合装置10として説明する。スコア統合装置10が行う処理は、モデルMのパラメータの探索を行う学習フェーズと、パラメータが設定されたモデルMを用いて、脆弱性それぞれのスコアを算出するスコア算出フェーズとに分けられる。図3を用いて、学習フェーズとスコア算出フェーズとを説明する。
[学習フェーズ]
まず、学習フェーズを説明する。ここでは、スコア統合装置10に、脆弱性集合vn∈Vと、優先順位付け関数の集合fm∈Fと、優先順位付け関数fmの真のスコアであるSとが与えられた場合を考える。
まず、学習フェーズを説明する。ここでは、スコア統合装置10に、脆弱性集合vn∈Vと、優先順位付け関数の集合fm∈Fと、優先順位付け関数fmの真のスコアであるSとが与えられた場合を考える。
この場合、スコア統合装置10のパラメータ探索部131は、上記のFにより脆弱性Vの優先順位付けスコアを算出する。そして、パラメータ探索部131は、上記の脆弱性V、F、S、および、上記のFにより算出されたスコアと、評価関数Eおよび目的関数Hとを用いた機械学習により、目的関数Hを最大化するモデルMのパラメータΦの探索を行う。そして、パラメータ設定部132は、探索されたパラメータΦをモデルMに設定する。
[スコア算出フェーズ]
次に、スコア算出フェーズを説明する。スコア統合装置10のスコア算出部133は、Fにより脆弱性V´の優先順位付けスコアを算出する。そして、スコア算出部133は、算出したスコアと、上記のパラメータΦが設定されたモデルMとを用いて、脆弱性V´について、Fによる優先順位付けスコアを統合したスコアRを算出し、出力する。
次に、スコア算出フェーズを説明する。スコア統合装置10のスコア算出部133は、Fにより脆弱性V´の優先順位付けスコアを算出する。そして、スコア算出部133は、算出したスコアと、上記のパラメータΦが設定されたモデルMとを用いて、脆弱性V´について、Fによる優先順位付けスコアを統合したスコアRを算出し、出力する。
このようにすることでスコア統合装置10は、機械学習により学習されるモデルMについてパラメータΦを設定し、脆弱性について、Fによる優先順位付けスコアを統合したスコアRを算出することができる。
[第2の実施形態]
また、sm,n∈Smに優先順位付け関数fmの真のスコアが含まれない場合、スコア統合装置10は、以下のようにして脆弱性それぞれのスコアを算出してもよい。
また、sm,n∈Smに優先順位付け関数fmの真のスコアが含まれない場合、スコア統合装置10は、以下のようにして脆弱性それぞれのスコアを算出してもよい。
ここでは、制約式(制約条件)の集合Cを含むモデルMを定義する場合を例に説明する。この場合、スコア統合装置10は、評価関数Eとして微分可能な評価関数を用いて、数理計画法によりモデルMの最適なパラメータΦを探索する。制約式は、例えば、CVSSのような重要度の高い特定のfmの影響度が所定の水準を上回るという制約式である。上記のスコア統合装置10を、第2の実施形態のスコア統合装置10として説明する。
スコア統合装置10の動作概要を、図4を用いて説明する。例えば、スコア統合装置10のパラメータ探索部131は、図4に示すように、脆弱性集合vn∈Vと、優先順位付け関数の集合fm∈Fとが与えられた場合を考える。この場合、スコア統合装置10は、Fにより脆弱性Vの優先順位付けスコアを算出する。そして、スコア統合装置10は、上記のV、F、上記のFにより算出されたスコア、評価関数E、目的関数H、および、制約式の集合Cを用い、数理計画法により、モデルMのパラメータΦの探索を行う。そして、パラメータ設定部132は、探索されたパラメータΦをモデルMに設定する。
その後、スコア算出部133は、Fにより算出されたスコアと、上記のパラメータΦが設定されたモデルMとを用いて、脆弱性Vについて、Fによる優先順位付けスコアを統合したスコアRを算出し、出力する。
このようにすることでスコア統合装置10は、sm,n∈Smに優先順位付け関数の真のスコアが含まれない場合でも、モデルMについてパラメータΦを設定し、脆弱性について、Fによる優先順位付けスコアを統合したスコアRを算出することができる。
次に、上記のスコア統合装置10の処理手順の具体例を説明する。fmには、CVSSを0-1に正規化したfcvssと、攻撃が発生する確率を算出するモデルfexpとを用いる。Mには、以下の式(1)で定義される線形加重和を用いたモデルを用いる。Smには、fmにより算出された優先順位付けスコアを用いる。なお、式(1)におけるパラメータλは、上記のパラメータΦに相当する。
RankDCGは、nDCGを改善した評価関数であり、以下の文献2に記載されている。また、nDCGの微分可能な近似については、以下の文献3に記載されている。
文献2:https://arxiv.org/pdf/1803.00719.pdf
文献3:https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/tr-2008-164.pdf
文献3:https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/tr-2008-164.pdf
また、式(2)におけるrel´は関連度を表す値で、Smとして与えられたスコアの昇順の順位である。また、sx,y=rx-ryであり、αは、スケールパラメータである。
なお、スコア統合装置10は、fcvssを重視するためにfcvssの重みに対するfexpの重みをL以下とする制約((1-λ)/λ)≦Lを導入する。また、目的関数H(E)として調和平均を用いる。これは非線形計画問題であるため、スコア統合装置10は、勾配降下法を用い、目的関数Hを最大化するパラメータλを求める。次に、スコア統合装置10は、式(1)に示すモデルに、上記のパラメータλを設定する。そして、スコア統合装置10は、パラメータλが設定された、式(1)に示すモデルを用いて、脆弱性それぞれのスコアRを算出し、出力する。
なお、上記の例においては、モデルMが制約式の集合Cを含む場合について説明したが、モデルMは制約式の集合Cを含まなくてもよい。
[システム構成等]
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
前記したスコア統合装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態のスコア統合装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
前記したスコア統合装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態のスコア統合装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
また、スコア統合装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図10は、スコア統合プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のスコア統合装置10が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、スコア統合装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる各データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワされたーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 スコア統合装置
11 入出力部
12 記憶部
13 制御部
131 パラメータ探索部
132 パラメータ設定部
133 スコア算出部
11 入出力部
12 記憶部
13 制御部
131 パラメータ探索部
132 パラメータ設定部
133 スコア算出部
Claims (9)
- 異なる観点の2つ以上のスコアが付与された脆弱性の集合について、それぞれの観点のスコアにより順位付けされる優先順位と、前記それぞれの観点のスコアを統合したスコアを算出するモデルにより算出されるスコアに基づき順位付けされる優先順位とがどの程度同じかを評価する評価関数を用いて、前記脆弱性の集合について、前記それぞれの観点のスコアにより順位付けされる優先順位を可能な限り維持するスコアを算出する前記モデルのパラメータを探索するパラメータ探索部と、
前記探索されたパラメータを前記モデルに設定するパラメータ設定部と、
を備えることを特徴とするスコア統合装置。 - 前記評価関数は、
nDCG(normalized Discounted Cumulative Gain)に基づき、前記脆弱性に対する2つ以上のスコアにより順位付けされる優先順位と、前記モデルにより算出されるスコアにより順位付けされる優先順位とがどの程度同じか評価を行う評価関数である
ことを特徴とする請求項1に記載のスコア統合装置。 - 前記パラメータ探索部は、
前記評価関数により定義される関数を目的関数とし、前記目的関数を最大化する前記モデルのパラメータを探索する
ことを特徴とする請求項1に記載のスコア統合装置。 - 前記探索されたパラメータが設定された前記モデルにより、脆弱性それぞれのスコアを算出し、出力するスコア算出部
をさらに備えることを特徴とする請求項1に記載のスコア統合装置。 - 前記脆弱性に付与されるスコアは、
前記脆弱性のCVSS値、および、機械学習モデルにより算出される前記脆弱性に攻撃が発生する確率の値であること
を特徴とする請求項1に記載のスコア統合装置。 - 前記脆弱性に付与されるスコアが、機械学習モデルにより算出されたスコアとその真のスコアを含む場合、
前記パラメータ探索部は、
前記脆弱性の集合と、前記脆弱性の集合に付与されたスコアと、前記評価関数および前記目的関数とを用いた機械学習により、前記モデルのパラメータを探索すること
を特徴とする請求項3に記載のスコア統合装置。 - 前記モデルが、前記観点のうち、所定の観点のスコアの影響度が所定の水準を上回る旨の制約条件を含む場合、
前記パラメータ探索部は、さらに、
前記制約条件を用いた数理計画法により、前記モデルのパラメータの探索を行う
ことを特徴とする請求項1に記載のスコア統合装置。 - スコア統合装置により実行されるスコア統合方法であって、
異なる観点の2つ以上のスコアが付与された脆弱性の集合について、それぞれの観点のスコアにより順位付けされる優先順位と、前記それぞれの観点のスコアを統合したスコアを算出するモデルにより算出されるスコアに基づき順位付けされる優先順位とがどの程度同じかを評価する評価関数を用いて、前記脆弱性の集合について、前記それぞれの観点のスコアにより順位付けされる優先順位を可能な限り維持するスコアを算出する前記モデルのパラメータを探索する工程と、
前記探索されたパラメータを前記モデルに設定する工程と、
を含むことを特徴とするスコア統合方法。 - 異なる観点の2つ以上のスコアが付与された脆弱性の集合について、それぞれの観点のスコアにより順位付けされる優先順位と、前記それぞれの観点のスコアを統合したスコアを算出するモデルにより算出されるスコアに基づき順位付けされる優先順位とがどの程度同じかを評価する評価関数を用いて、前記脆弱性の集合について、前記それぞれの観点のスコアにより順位付けされる優先順位を可能な限り維持するスコアを算出する前記モデルのパラメータを探索する工程と、
前記探索されたパラメータを前記モデルに設定する工程と、
コンピュータに実行させることを特徴とするスコア統合プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/000919 WO2022153412A1 (ja) | 2021-01-13 | 2021-01-13 | スコア統合装置、スコア統合方法、および、スコア統合プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/000919 WO2022153412A1 (ja) | 2021-01-13 | 2021-01-13 | スコア統合装置、スコア統合方法、および、スコア統合プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2022153412A1 true WO2022153412A1 (ja) | 2022-07-21 |
Family
ID=82448016
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2021/000919 WO2022153412A1 (ja) | 2021-01-13 | 2021-01-13 | スコア統合装置、スコア統合方法、および、スコア統合プログラム |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2022153412A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230185921A1 (en) * | 2021-12-14 | 2023-06-15 | Vdoo Connected Trust Ltd. | Prioritizing vulnerabilities |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130318600A1 (en) * | 2012-05-23 | 2013-11-28 | Wal-Mart Stores, Inc. | Reporting and Management of Computer Systems and Data Sources |
US20180032736A1 (en) * | 2016-07-29 | 2018-02-01 | Jpmorgan Chase Bank, N.A. | Cybersecurity Vulnerability Management System and Method |
JP2019021303A (ja) * | 2017-07-12 | 2019-02-07 | 富士通株式会社 | ソフトウェアプログラムフォールト位置特定 |
US20200162498A1 (en) * | 2018-11-20 | 2020-05-21 | Saudi Arabian Oil Company | Cybersecurity vulnerability classification and remediation based on network utilization |
-
2021
- 2021-01-13 WO PCT/JP2021/000919 patent/WO2022153412A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130318600A1 (en) * | 2012-05-23 | 2013-11-28 | Wal-Mart Stores, Inc. | Reporting and Management of Computer Systems and Data Sources |
US20180032736A1 (en) * | 2016-07-29 | 2018-02-01 | Jpmorgan Chase Bank, N.A. | Cybersecurity Vulnerability Management System and Method |
JP2019021303A (ja) * | 2017-07-12 | 2019-02-07 | 富士通株式会社 | ソフトウェアプログラムフォールト位置特定 |
US20200162498A1 (en) * | 2018-11-20 | 2020-05-21 | Saudi Arabian Oil Company | Cybersecurity vulnerability classification and remediation based on network utilization |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230185921A1 (en) * | 2021-12-14 | 2023-06-15 | Vdoo Connected Trust Ltd. | Prioritizing vulnerabilities |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10504028B1 (en) | Techniques to use machine learning for risk management | |
JP6859247B2 (ja) | 学習装置、分析システム、学習方法および学習プログラム | |
CN113297287B (zh) | 用户策略自动部署方法、装置及电子设备 | |
WO2022153412A1 (ja) | スコア統合装置、スコア統合方法、および、スコア統合プログラム | |
Ruberto et al. | SGP-DT: Semantic genetic programming based on dynamic targets | |
US10803403B2 (en) | Method for adaptive tuning via automated simulation and optimization | |
CN115190010B (zh) | 基于软件服务依赖关系的分布推荐方法和装置 | |
CN112182118A (zh) | 基于多数据源的目标对象预测方法及其相关设备 | |
Malhotra et al. | Severity prediction of software vulnerabilities using textual data | |
CN111626898B (zh) | 用于实现事件归因的方法、装置、介质和电子设备 | |
Bhol et al. | Machine Learning as a Service Cloud Selection: An MCDM Approach for Optimal Decision Making | |
Sharma et al. | Software vulnerability prioritization: A comparative study using TOPSIS and VIKOR techniques | |
Roy et al. | Discretization and feature selection based on bias corrected mutual information considering high-order dependencies | |
CN113722593B (zh) | 事件数据处理方法、装置、电子设备和介质 | |
JP6749866B2 (ja) | トレンド評価装置、および、トレンド評価方法 | |
Sun et al. | A scalable and accurate feature representation method for identifying malicious mobile applications | |
Xiang et al. | Rumor blocking with pertinence set in large graphs | |
CN114139039B (zh) | 服务稳定性确定方法、装置、设备以及存储介质 | |
CN115545753A (zh) | 一种基于贝叶斯算法的合作伙伴预测方法及相关设备 | |
Grisci et al. | Perspectives on risk prioritization of data center vulnerabilities using rank aggregation and multi-objective optimization | |
Baeza-Yates et al. | An effective and efficient algorithm for ranking web documents via genetic programming | |
Verma et al. | RETRACTED ARTICLE: Exponential Relationship Based Approach for Predictions of Defect Density Using Optimal Module Sizes | |
Alsultan | Group acceptance sampling plan based on truncated life tests using extended odd Weibull exponential distribution with application to the mortality rate of COVID-19 patients | |
CN111582648A (zh) | 用户策略生成方法、装置及电子设备 | |
CN113570113B (zh) | 一种设备失联预测方法、装置和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21919306 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 21919306 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: JP |