WO2016208158A1

WO2016208158A1 - 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体

Info

Publication number: WO2016208158A1
Application number: PCT/JP2016/002894
Authority: WO
Inventors: 池田　聡
Original assignee: NEC Corp
Current assignee: NEC Corp
Priority date: 2015-06-26
Filing date: 2016-06-15
Publication date: 2016-12-29
Anticipated expiration: 2017-12-26
Also published as: US20180167407A1; JP6690646B2; US10819720B2; JPWO2016208158A1

Abstract

適切な分類ルールを生成するため、本発明の情報処理装置は、アラートに含まれる通信情報を基づいてアラートを分類したクラスタを示すクラスタ識別子を決定し、アラートが正検知であるか誤検知であるかの分類結果を受信し、アラートとクラスタ識別子と分類結果とを含むアラート情報を生成するクラスタ解析手段と、アラート情報において、アラート情報に含まれる情報の組合せで、少なくともクラスタ識別子を含むパターンの出現回数を算出し、所定の閾値より出現回数が多い頻出パターンを抽出し、抽出した頻出パターンを基にアラートに関連付けられた分類結果の設定又は更新に用いられる分類ルールを生成し、過去に生成した古い分類ルールを新たに生成した分類ルールで更新するルール生成手段と、分類ルールに基にアラート情報に含まれる分類結果を設定又は更新するルール適用手段とを含む。

Description

情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体

　本発明は、情報の通信に関し、特に、通信を監視する情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体に関する。

　情報を通信しているネットワークを監視する装置は、監視対象のネットワークに対する攻撃又は不正侵入を防ぐことを目的として、ファイアウォール又はＩＤＳ（Intrusion Detection System）などを用いて、通信を監視し、必要に応じて通信を遮断する。近年、知的財産又は機密情報の窃取を目的とした標的型攻撃が、増加している。そのため、ネットワークに対するサイバーセキュリティ（cybersecurity）の需要が、高まっている。サイバーセキュリティを実現する技術としては、ＳＯＣ（Security Operation Center）を用いて、ネットワークの監視及びインシデント（incident）に対応する技術が、一般的になっている。

　ネットワークを監視する装置は、ファイアウォール又はＩＤＳなどの機能を実現する監視機器が検知したアラート（alert）を、危険度に基づいて、分類する（例えば、非特許文献１を参照）。なお、アラートとは、注意を促すメッセージである。例えば、アラートは、ネットワークにおける異常を検知したことを通知するメッセージである。

　ただし、監視機器が検知を基に作成するアラートには、インシデントとして報告する必要がないアラートが含まれている。例えば、監視機器が検知したアラートには、危険性が低いアラート、又は、誤検知であるアラートが、含まれる。

　そのため、ネットワークの監視業務を行う操作者（オペレータ：operator）は、下記のような情報、つまり、検知されたアラートに含まれる情報、又は、外部情報を参照して、アラートを分類し、アラートに危険度を設定する。そして、ネットワークを監視する装置は、オペレータが設定した危険度を基に、必要に応じて、インシデントに対応したアラートとして、検知したアラートを報告する。

　なお、上記の分類において参照する情報として、例えば、アラートを検知した検知ルール、送信元ホストのＩＰ（Internet Protocol）アドレス及びポート番号、並びに、送信先ホストのＩＰアドレス及びポート番号がある。あるいは、上記の分類において参照する情報として、例えば、セキュリティベンダーがアラートを検知するために用いた検知ルールに割り当てた重要度、及び、検知の原因となった通信（例えば、パケット）に含まれる通信情報がある。

　非特許文献１に記載のシステムは、頻出するアラート（ルーティンアラート）を、分類する。より詳細には、非特許分類１に記載のシステムは、アラートに含まれるシグネチャ（検知ルールの識別子）、送信元ホストのＩＰアドレス及びポート番号、並びに、送信先ホストのＩＰアドレス及びポート番号を、１つのトランザクションとみなす。そして、非特許分類１に記載のシステムは、頻出するアラートに含まれるトランザクションを頻出パターンとし、その頻出パターンのマイニングを実行する。さらに、非特許分類１に記載のシステムは、頻出アイテム集合マイニング（frequent item-set mining）に基づいて、頻出飽和アイテム集合（frequent closed item-sets）を抽出する。そして、非特許分類１に記載のシステムは、頻出飽和アイテム集合を基に、頻出するアラートのパターン（頻出パターン）を、アラートの分類に用いるルールとして用いる。そして、非特許分類１に記載のシステムは、上記のルールを基に、ルーティンアラートを分類する。

　一般的に、ルーティンアラートは、過去に頻出したパターンとの類似性が高い。また、ルーティンアラートは、一般的に、重要性が低い。つまり、ルーティンアラートは、オペレータの判断を必要としないで分類可能なアラートである。そのため、非特許分類１に記載のシステムは、上記ルールを基にアラートを分類し、オペレータにおける分類作業を削減し、オペレータの作業の効率化を実現できる。

Risto Vaarandi, "Real-time Classification of IDS Alerts with Data Mining Techniques", Military Communications Conference、2009. MILCOM 2009. IEEE, pp. 1-7, October 18-21, 2009

　しかしながら、非特許文献１に記載のシステムは、検知されたアラートに含まれる通信情報に基づいたルールを生成できない。例えば、アラートの重要度は、アラートに含まれる通信情報の内容に基づいた判断が必要な場合がある。つまり、非特許文献１に記載の技術が上記の情報（例えば、シグネチャ、送信元ホスト及び送信先ホストの情報）を基に一致すると判断された複数のアラートの重要度が、異なる重要度となる場合がある。この場合、分類のためのルール（分類ルール）を生成する装置は、それぞれのアラートの重要度に対応した、異なる分類ルールを生成することが必要である。しかし、上記の場合、非特許文献１に記載の技術は、アラートの重要度を区別できないため、適切な分類ルールを生成できない。

　このように、非特許文献１に記載の技術は、適切な分類ルールを生成できない場合があるとの問題点があった。

　本発明の目的は、上記問題点を解決し、適切な分類ルールを生成する情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体を提供することにある。

　本発明の一形態における情報処理装置は、アラートに含まれる通信された情報である通信情報を基づいてアラートを分類した結果であるクラスタを示すクラスタ識別子を決定し、アラートが正検知であるか誤検知であるかの分類である分類結果を受信し、アラートとクラスタ識別子と分類結果とを含む情報であるアラート情報を生成するクラスタ解析手段と、アラート情報において、アラート情報に含まれる情報の組合せで、少なくともクラスタ識別子を含むパターンの出現回数を算出し、所定の閾値より出現回数が多いパターンである頻出パターンを抽出し、抽出した頻出パターンを基にアラートに関連付けられた分類結果の設定又は更新に用いられる分類ルールを生成し、過去に生成した古い分類ルールを新たに生成した分類ルールで更新するルール生成手段と、分類ルールに基にアラート情報に含まれる分類結果を設定又は更新するルール適用手段とを含む。

　本発明の一形態における情報処理システムは、上記情報処理装置と、情報処理装置からアラート情報を受信し、受信したアラート情報を表示するアラート表示手段と、表示されたアラート情報に対する分類結果の入力を受信し、受信した入力を情報処理装置に送信する入力手段とを含む提示装置と含む。
本発明の一形態におけるデータ処理方法は、アラートに含まれる通信された情報である通信情報を基づいてアラートを分類した結果であるクラスタを示すクラスタ識別子を決定し、アラートが正検知であるか誤検知であるかの分類である分類結果を受信し、アラートとクラスタ識別子と分類結果とを含む情報であるアラート情報を生成し、アラート情報において、アラート情報に含まれる情報の組合せで、少なくともクラスタ識別子を含むパターンの出現回数を算出し、所定の閾値より出現回数が多いパターンである頻出パターンを抽出し、抽出した頻出パターンを基にアラートに関連付けられた分類結果の設定又は更新に用いられる分類ルールを生成し、過去に生成した古い分類ルールを新たに生成した分類ルールで更新し、分類ルールに基にアラート情報に含まれる分類結果を設定又は更新する。

　本発明の一形態における記憶媒体は、アラートに含まれる通信された情報である通信情報を基づいてアラートを分類した結果であるクラスタを示すクラスタ識別子を決定する処理と、アラートが正検知であるか誤検知であるかの分類である分類結果を受信する処理と、アラートとクラスタ識別子と分類結果とを含む情報であるアラート情報を生成する処理と、アラート情報において、アラート情報に含まれる情報の組合せで、少なくともクラスタ識別子を含むパターンの出現回数を算出する処理と、所定の閾値より出現回数が多いパターンである頻出パターンを抽出する処理と、抽出した頻出パターンを基にアラートに関連付けられた分類結果の設定又は更新に用いられる分類ルールを生成する処理と、画に生成した古い分類ルールを新たに生成した分類ルールで更新する処理と、分類ルールに基にアラート情報に含まれる分類結果を設定又は更新する処理とをコンピュータに実行させるプログラムを記憶する。

　本発明に基づけば、適切な分類ルールを生成するとの効果を奏することができる。

図１は、本発明における第１の実施形態に係る情報処理装置を含む情報処理システムの構成の一例を示すブロック図である。図２は、第１の実施形態に係る情報処理装置の構成の一例を示すブロック図である。図３は、第１の実施形態に係る提示装置の構成の一例を示すブロック図である。図４は、第１の実施形態に係るアラート情報の一例を示す図である。図５は、第１の実施形態に係る分類ルールの一例を示す図である。図６は、第１の実施形態の説明に用いる頻出パターン集合の一例を示す図である。図７は、第１の実施形態に係るクラスタ解析部におけるクラスタリングの動作の一例を示すフローチャートである。図８は、第１の実施形態に係るルール生成部における分類ルールを生成する動作の一例を示すフローチャートである。図９は、第１の実施形態に係るルール適用部における分類ルールを適用する動作の一例を示すフローチャートである。図１０は、第２の実施形態に係る情報処理装置を含む情報処理システムの構成の一例を示すブロック図である。図１１は、第２の実施形態に係る情報処理装置の構成の一例を示すブロック図である。図１２は、第２の実施形態に係る提示装置の構成の一例を示すブロック図である。図１３は、第２の実施形態に係る分類ルールの一例を示す図である。図１４は、第３の実施形態に係る情報処理装置を含む情報処理システムの構成の一例を示すブック図である。図１５は、第３の実施形態に係る情報処理装置の構成の一例を示すブロック図である。図１６は、第３の実施形態に係るルール生成部におけるルールを生成する動作の一例を示すフローチャートである。図１７は、変形例に係る情報処理装置の構成の一例を示すブロック図である。図１８は、変形例に係る情報処理装置の構成の一例を示すブロック図である。

　次に、本発明の実施形態について図面を参照して詳細に説明する。

　各図面は、本発明の実施形態を説明するものである。ただし、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を、省略する場合がある。

　また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。

　＜第１の実施形態＞
　まず、本発明における第１の実施形態の構成ついて説明する。

　［構成の説明］
　図１は、本発明における第１の実施形態に係る情報処理装置２０を含む情報処理システム１０の構成の一例を示すブロック図である。

　図１に示すように、情報処理システム１０は、情報処理装置２０と、提示装置３０と、ネットワーク４０と、監視装置５０とを含む。

　ネットワーク４０は、本実施形態における、つまり、情報処理システム１０における監視対象である。本実施形態に係るネットワーク４０は、特に制限はない。例えば、ネットワーク４０は、所定の範囲内での使用に限られた社内ネットワークでもよい。あるいは、ネットワーク４０は、物理的なネットワークに限らず、ＶＬＡＮ（Virtual Local Area Network）のような、論理的なネットワークでもよい。そのため、ネットワーク４０の詳細な説明を省略する。

　監視装置５０は、ネットワーク４０における通信情報を監視する。また、監視装置５０は、所定の検知ルールに基づいて、ネットワーク４０で発生した通信の異常を検知する。ここで、ネットワーク４０で発生した通信の異常とは、例えば、ネットワーク４０に対する外部からの攻撃又はネットワーク４０の動作を原因として発生した異常である。そして、監視装置５０は、検知結果（検知した異常）を、アラートとして、情報処理装置２０に通知する。本実施形態に係る監視装置５０は、特に制限はなく、一般的に用いられるネットワーク４０を監視する装置である。そのため、監視装置５０の詳細な説明を省略する。

　ただし、本実施形態において、アラートは、通信情報を含む。通信情報とは、通信に用いられる情報である。例えば、通信情報は、通信に用いられるパケットのペイロードとして含まれるバイト列、又は、ＨＴＴＰ（Hyper Text Transfer Protocol）要求、若しくは、ＨＴＴＰ応答に含まれる文字列である。ただし、通信情報は、上記に限られず、他の情報でもよい。

　情報処理装置２０は、アラートを解析する。情報処理装置２０の構成及び動作については、後ほど、詳細に説明する。

　提示装置３０は、情報処理システム１０のオペレータに対して、情報処理装置２０が解析した情報（例えば、アラート情報）を提示する。また、提示装置３０は、オペレータからの指示（例えば、アラート情報の分類結果）を情報処理装置２０に送信する。

　図３は、第１の実施形態に係る提示装置３０の構成の一例を示すブロック図である。

　図３に示すように、提示装置３０は、アラート表示部３１と、入力部３２とを含む。

　アラート表示部３１は、情報処理装置２０から、情報処理装置２０が解析した情報（例えば、アラート情報又は分類ルール）を受信する。以下、情報の一例として、アラート情報を用いて説明する。

　そして、アラート表示部３１は、受信したアラート情報を表示する。アラート表示部３１が表示する情報は、オペレータが、入力部３２に指示を入力するための情報である。そのため、アラート表示部３１は、アラート情報に含まれる項目の一部の表示を省略してもよい。また、アラート表示部３１は、受信した情報とは異なる情報を表示してもよい。

　入力部３２は、オペレータからの入力（指示）を受信し、情報処理装置２０に送信する。

　ここで、オペレータの入力とは、例えば、後ほど説明するアラート情報の分類結果の入力（指示）である。この場合、入力部３２は、アラート表示部３１が、表示したアラート情報に対する、オペレータの判断結果である分類結果の入力（正検知又は誤検知）を受信する。なお、「分類結果」とは、アラートが正検知であるか、誤検知であるかの分類を表す情報である。そして、入力部３２は、受信したオペレータの入力（指示）を、情報処理装置２０に送信する。

　情報処理装置２０は、受信した情報をアラート情報の分類結果に保存する。例えば、情報処理装置２０が、提示装置３０から分類結果を受信した場合、情報処理装置２０は、保存されている分類結果に、受信した分類結果の値を保存（上書き）する。

　次に、第１の実施形態に係る情報処理装置２０について、図面を参照して、より詳細に説明する。

　図２は、第１の実施形態に係る情報処理装置２０の構成の一例を示すブロック図である。

　図２に示すように、情報処理装置２０は、クラスタ解析部２１と、ルール生成部２２と、ルール適用部２３と、アラート情報記憶部２４と、ルール記憶部２５とを含む。

　クラスタ解析部２１は、監視装置５０から、アラートを受信する。そして、クラスタ解析部２１は、アラートに含まれる通信情報に基づいて、アラートを、クラスタに分類する（クラスタリングする）。なお、以下、クラスタ解析部２１が決定したクラスタを示す情報を「クラスタ識別子」と呼ぶ。クラスタ解析部２１がクラスタリングとして用いる手法は、特に制限はない。例えば、クラスタ解析部２１は、クラスタリングのために、アラートに含まれる通信情報の類似度を用いてもよい。

　なお、クラスタ解析部２１は、直接的にアラートを受信するのではなく、間接的にアラートを受信してもよい。あるいは、クラスタ解析部２１は、図示しない記憶装置に保存されたアラートに対して、以下で説明する動作を実行してもよい。

　また、クラスタ解析部２１は、既に説明したように、提示装置３０から、アラートの分類結果を受信する。

　そして、クラスタ解析部２１は、アラートを、そのアラートが分類されたクラスタを示すクラスタ識別子及びそのアラートに対する分類結果と関連付けて、アラート情報記憶部２４に保存する。アラート情報記憶部２４に関連付けて保存されるこれらの情報をまとめて、以下、「アラート情報」と呼ぶ。つまり、アラート情報は、アラートと、クラスタ識別子と、分類結果とを含む情報である。また、クラスタ解析部２１は、上記情報をまとめてアラート情報を生成する構成でもある。なお、アラート情報については、後ほど詳細に説明する。

　ただし、本実施形態において、アラート情報を生成する構成は、クラスタ解析部２１に限る必要はない。例えば、ルール適用部２３が、クラスタ解析部２１からアラート及びクラスタ識別子を受信し、分類結果を追加して、アラート情報を生成してもよい。

　ルール生成部２２は、アラート情報記憶部２４に保存されているアラート情報を基に、アラートを分類するために用いられる分類ルールを生成する。ルール生成部２２は、生成した分類ルールをルール記憶部２５に保存する。なお、分類ルールについては、後ほど詳細に説明する。

　ルール適用部２３は、アラート情報記憶部２４に保存されたアラート情報に対して、ルール記憶部２５に保存されている分類ルールを適用し、適用した結果をアラート情報に含まれる分類結果に設定する。なお、分類ルールを適用した場合の分類結果と、既に保存されている分類結果とが異なる場合、ルール適用部２３は、分類結果を更新する。

　アラート情報記憶部２４は、アラート情報を記憶する。

　アラート情報記憶部２４は、アラート情報を一つのデータの組として保存してもよい。あるいは、アラート情報記憶部２４は、アラートと、クラスタを示す情報と、分類結果とを別データとして保存し、それらの関連を表す情報を保存してもよい。ただし、以下の説明では、アラート情報記憶部２４は、アラート情報を一つのデータの組として保存するとする。

　図４は、第１の実施形態に係るアラート情報記憶部２４が記憶するアラート情報４００の一例を示す図である。図４に示すように、アラート情報４００は、検知時刻４０１と、送信元ＩＰアドレス４０２と、送信元ポート番号４０３と、送信先ＩＰアドレス４０４と、送信先ポート番号４０５とを含む。さらに、アラート情報４００は、検知ルール識別子４０６と、クラスタ識別子４０７と、分類結果４０８と、通信情報４０９とを含む。つまり、アラート情報４００は、これらを含む情報の集合として構成される。図４において、各行が、各アラート情報４００を示す。

　図４に示すアラート情報４００において、アラートに含まれる情報は、検知時刻４０１、送信元ＩＰアドレス４０２、送信元ポート番号４０３、送信先ＩＰアドレス４０４、送信先ポート番号４０５、検知ルール識別子４０６、及び、通信情報４０９である。

　次に、図４に示すアラート情報４００に含まれる各情報を説明する。

　クラスタ識別子４０７は、クラスタ解析部２１におけるクラスタリングの結果である。

　分類結果４０８は、提示装置３０から受信した、又は、ルール適用部２３が適用したアラート情報４００の分類結果である。

　検知時刻４０１は、監視装置５０が、アラートを検知した時刻である。

　送信元ＩＰアドレス４０２及び送信元ポート番号４０３が、検知されたアラートに関する通信の送信元を示す情報である。

　送信先ＩＰアドレス４０４及び送信先ポート番号４０５が、検知されたアラートに関する通信の送信先を示す情報である。

　検知ルール識別子４０６は、監視装置５０が検知に用いたルールを識別する情報である。

　通信情報４０９は、検知されたアラートに関する通信における具体的に通信される情報である。通信情報４０９は、既に説明した通り、例えば、通信に用いられるパケットのペイロードとして含まれるバイト列、又は、ＨＴＴＰ要求、若しくは、ＨＴＴＰ応答に含まれる文字列である。

　なお、以下の説明において、分類結果４０８は、値として、「正検知」、「誤検知」、及び、「空欄」を取るとする。ここで、「空欄」とは、アラートが未分類であることを示す。なお、「空欄」は、アラート情報４００がアラート情報記憶部２４に保存されたときの初期値でもある。ただし、本実施形態の分類結果４０８は、上記に限らず、別の値を取ってもよい。

　図４に示されているアラート情報４００について、さらに詳細に説明する。なお、以下の説明は、「：」を用いて、ＩＰアドレスとポート番号とをまとめて示す。例えば、「１９２．１６８．０．１：２０００」は、ＩＰアドレスが「１９２．１６８．０．１」で、ポート番号が「２０００」を示す。

　図４の１行目に示されるアラート情報４００は、監視装置５０において、時刻「９：００：１２」に、検知ルール「Ｓ１」に基づいて検知されたアラートに対応するアラート情報４００である。そのアラートは、「１９２．１６８．０．１：２０００」の送信元から、「１０．１．０．１：８０」の送信先への通信に関するアラートである。

　さらに、そのアラートは、クラスタ解析部２１が、クラスタ識別子「１」で示されるクラスタに分類したアラートである。以下、クラスタ識別子で示されるクラスタを、単に、クラスタ「クラスタ識別子（例えば、１）」とする。

　また、そのアラート情報４００の分類結果４０８は、「正検知」である。つまり、そのアラート情報４００は、正しく検知されたアラート情報４００である。

　その他のアラートも、同様である。ただし、６行目に示されているアラート情報４００の分類結果４０８における空欄は、「未分類」であることを示す。

　なお、アラート情報４００は、上記の情報に加え、他の情報を含んでもよい。あるいは、後ほど説明する動作を実現できる限り、アラート情報４００は、通信情報４０９及びクラスタ識別子４０７を除き、図４に示す情報の一部を含まなくてもよい。

　ルール記憶部２５は、ルール生成部２２の生成した分類ルールを記憶する。

　ルール記憶部２５は、分類ルールを一つのデータの組として保存してもよい。あるいは、ルール記憶部２５は、分類ルールに含まれる各情報を別データとして保存し、それらの関連を表す情報を保存してもよい。以下の説明では、ルール記憶部２５は、分類ルールを一つのデータの組として保存するとする。

　図５は、第１の実施形態に係るルール記憶部２５が記憶する分類ルール５００の一例を示す図である。図５に示すように、分類ルール５００は、条件部５０１と、分類動作部５０９とを含む。つまり、分類ルール５００は、情報の集合として構成される。図５において、各行が、分類ルール５００を示す。

　条件部５０１は、適合を判断するために用いられる条件を含む。図５に示す条件部５０１は、一例として、送信元ＩＰアドレス５０２と、送信元ポート番号５０３と、送信先ＩＰアドレス５０４と、送信先ポート番号５０５と、検知ルール識別子５０６と、クラスタ識別子５０７とを含む。なお、図５に示す各情報の意味は、図４に示す情報と同様である。

　なお、条件部５０１は、少なくともクラスタ識別子５０７を含めばよい。つまり、条件部５０１は、条件として、図５に示すクラスタ識別子５０７以外の情報の一部又は全てを含まなくてもよい。あるいは、条件部５０１は、条件として、他の情報を含んでもよい。

　また、条件部５０１は、条件として、固定値に限らず、任意の値と適合するとの条件を含んでもよい。図５において、条件部５０１に示す「＊」が、任意の値との適合を示す記号である。ここで、任意の値は、空欄を含む。あるいは、条件部５０１は、条件として、範囲を示す情報を含んでもよい。

　例えば、図５の１行目に示されている分類ルール５００は、送信元ＩＰアドレス５０２及び送信元ポート番号５０３が任意である。つまり、１行目に示されている分類ルール５００は、いずれの送信元に関する通信でも、「１０．１．０．１：８０」の送信先への通信であり、検知ルール「Ｓ１」を基に検知され、クラスタ「１」に分類されたアラート情報４００と適合する。

　また、分類ルール５００の分類動作部５０９は、ルール適用部２３が、条件部５０１に適合したアラートに対する動作において用いる情報である。以下の説明では、一例として、分類動作部５０９は、分類結果５０８を含む。この分類結果５０８は、図４に示す分類結果４０８と同様の情報である。

　ただし、以下、分類ルール５００のうち、分類結果５０８が「正検知」である分類ルール５００を「正検知ルール」と呼ぶ。また、分類結果５０８が「誤検知」である分類ルール５００を「誤検知ルール」と呼ぶ。

　［動作の説明］
　次に、図面を参照して本実施形態に係る情報処理装置２０の動作について説明する。

　図７は、第１の実施形態に係るクラスタ解析部２１におけるクラスタリングの動作の一例を示すフローチャートである。

　クラスタ解析部２１は、監視装置５０からアラートを受信すると、動作を開始する（ステップＳ１０１）。

　アラートを受信すると、クラスタ解析部２１は、受信したアラートに含まれる通信情報４０９を取得する。そして、クラスタ解析部２１は、通信情報４０９の類似度を基に、受信したアラートをクラスタリングする。なお、クラスタ解析部２１がクラスタリングに用いる類似度は、特に制限はない。以下の説明では、一例として、クラスタ解析部２１は、類似度として、通信情報４０９間の距離を用いる。ただし、クラスタ解析部２１は、クラスタリングに用いる情報（類似度）として、通信情報４０９間の距離ではなく、他の情報を用いてもよい。

　まず、クラスタ解析部２１は、受信したアラートの通信情報４０９を、通信情報４０９間の距離の算出が可能な構造のデータに変換する（ステップＳ１０２）。クラスタ解析部２１における変換処理は、特に制限はない。以下の説明では、一例として、クラスタ解析部２１は、距離の算出が可能な構造のデータとして、通信情報４０９に含まれる文字の出現回数をベクトルとして表現したヒストグラム（Ｈ）を用いるとする。

　通信情報４０９を変換後、クラスタ解析部２１は、変換後の通信情報４０９（例えば、ヒストグラム（Ｈ））から、通信情報４０９に最も距離の近い代表点を持つクラスタ（Ｃ_ｍｉｎ）までの距離（Ｄ_ｍｉｎ）を算出する（ステップＳ１０３）。

　クラスタ解析部２１が用いる距離の算出方法は、特に制限はない。クラスタ解析部２１は、一般的な各種距離を用いることできる。そこで、以下の説明では、クラスタ解析部２１は、ユークリッド距離を用いるとする。

　また、クラスタ解析部２１は、代表点として、用いる値に特に制限はなく、クラスタから算出可能な各種の値を用いることができる。そこで、以下の説明では、クラスタの代表点は、そのクラスタに属するアラートに含まれる通信情報４０９の変換後のデータの平均値とする。ただし、各クラスタに属するアラートは、実際には、アラート情報４００として保存されている。

　例えば、クラスタ解析部２１は、次に示すように、距離（Ｄ_ｍｉｎ）を算出してもよい。すなわち、クラスタ解析部２１は、上記のヒストグラム（Ｈ）と、各クラスタ（Ｃ_ｉ：ｉはクラスタを示す添え字で、１以上の整数）の代表点との距離（Ｄ_ｉ：ｉは、対応するクラスタを示す）を算出する。クラスタ解析部２１は、各クラスタ（Ｃ_ｉ）の代表点として、上記のとおり、クラスタ（Ｃ_ｉ）に属するアラートに含まれる通信情報４０９の変換後のヒストグラム（Ｈ）の平均値を用いる。また、クラスタ解析部２１は、上記のとおり、距離（Ｄ_ｉ）として、ユークリッド距離を用いる。

　そして、クラスタ解析部２１は、距離（Ｄ_ｉ）が最小となる距離（Ｄ_ｍｉｎ）となるクラスタ（Ｃ_ｉ）を、最も近いクラスタ（Ｃ_ｍｉｎ）とする。

　クラスタ解析部２１は、クラスタ（Ｃ_ｍｉｎ）及び距離（Ｄ_ｍｉｎ）の算出後、所定の閾値（Ｄ_ｔｈ）と距離（Ｄ_ｍｉｎ）とを比較する（ステップＳ１０４）。なお、閾値（Ｄ_ｔｈ）は、予め、クラスタ解析部２１に設定されている値である。

　距離（Ｄ_ｍｉｎ）が閾値（Ｄ_ｔｈ）より大きい場合（ステップＳ１０４でＹＥＳ）、クラスタ解析部２１は、クラスタの集合に、新たなクラスタ（Ｃ_ｎｅｗ）を追加する（ステップＳ１０５）。具体的には、クラスタ解析部２１は、クラスタの集合に、新たなクラスタ（Ｃ_ｎｅｗ）として、受信したアラートの通信情報４０９（例えば、上記のヒストグラム（Ｈ））の代表点を追加する。

　一方、距離（Ｄ_ｍｉｎ）が閾値（Ｄ_ｔｈ）以下の場合（ステップＳ１０４でＮＯ）、クラスタ解析部２１は、受信したアラートの通信情報４０９（例えば、ヒストグラム（Ｈ））を用いて、最も距離が近いクラスタ（Ｃ_ｍｉｎ）を更新する（ステップＳ１０６）。具体的には、クラスタ解析部２１は、受信したアラートの通信情報４０９（例えば、ヒストグラム（Ｈ））を含めた平均値となるよう、クラスタ（Ｃ_ｍｉｎ）の代表点を更新する。

　そして、クラスタ解析部２１は、受信したアラートに対するクラスタリングの結果と、アラート情報４００とを、アラート情報記憶部２４に保存する（ステップＳ１０７）。なお、クラスタリングの結果とは、ステップＳ１０５における新たなクラスタ（Ｃ_ｎｅｗ）の追加、又は、ステップＳ１０６におけるクラスタ（Ｃ_ｍｉｎ）の更新である。

　以上の動作に基づき、クラスタ解析部２１は、受信したアラートを、そのアラートに含まれる通信情報４０９の距離に基づいて、クラスタリングする。例えば、クラスタ解析部２１は、クラスタリングとして、図４に示すように、アラート情報４００に含まれるクラスタ識別子４０７を設定する。このように、クラスタ解析部２１は、通信情報４０９を用いて、クラスタ識別子４０７を設定する。つまり、クラスタ識別子４０７は、通信情報４０９を基に設定された値である。

　なお、クラスタ解析部２１は、新たなクラスタ（Ｃ_ｎｅｗ）を追加した場合、又は、クラスタ（Ｃ_ｍｉｎ）を更新した場合、つまり、クラスタが変化した場合、アラート情報記憶部２４に保存されているアラート情報４００のクラスタを再設定してもよい。つまり、クラスタ解析部２１は、クラスタが変化した場合、アラート情報記憶部２４に保存されているアラート情報４００のクラスタ識別子４０７を更新してもよい。

　ここまでの本実施形態の説明において、クラスタ解析部２１は、通信情報４０９の変換として、ヒストグラム（Ｈ）を用いた。しかし、クラスタ解析部２１は、通信情報４０９の変換後のデータの構造として、その他の構造を用いてもよい。例えば、クラスタ解析部２１は、検索に用いられるＮグラム（N-gram）を用いてもよい。具体的には、クラスタ解析部２１は、通信情報４０９におけるＮグラムを抽出する。そして、クラスタ解析部２１は、クラスタリングに用いるデータとして、Ｎグラムの出現頻度ベクトルを用いてもよい。

　さらに、クラスタ解析部２１は、クラスタリングに用いるデータに、重みを適用してもよい。例えば、クラスタ解析部２１は、Ｎグラムに対する重みを、ＴＦ－ＩＤＦ（Term Frequency-Inverse Document Frequency）に用いて決定してよい。この場合、クラスタ解析部２１は、多くのアラートにおいて出現するＮグラムほど、そのＮグラムに対する重みが小さくなるよう、距離を算出してもよい。

　また、本実施形態の説明において、クラスタ解析部２１は、クラスタの代表点として、そのクラスタに属する通信情報４０９の変換後のデータの平均値を用いた。しかし、クラスタ解析部２１における代表点の算出方法は、上記に、限る必要はない。例えば、クラスタ解析部２１は、平均値の代わりに、中央値を用いてもよい。あるいは、通信情報４０９の変換後のデータの性質上、平均値及び中央値の算出が困難な場合、クラスタ解析部２１は、代表値として、取得可能な値を用いてもよい。例えば、クラスタ解析部２１は、上記のステップＳ１０５において、新しくクラスタを生成する際に用いたデータ（例えば、上記のヒストグラム（Ｈ））を、そのクラスタの代表点としてもよい。

　次に、ルール生成部２２の動作について、図面を参照して説明する。

　図８は、第１の実施形態に係るルール生成部２２における分類ルール５００を生成する動作の一例を示すフローチャートである。なお、以下で説明するルール生成部２２の動作の開始時間は、特に制限はない。ルール生成部２２は、所定の時間間隔で、定期的に、分類ルール５００を生成してもよい。あるいは、ルール生成部２２は、図示しない外部の装置から指定された時に、分類ルール５００を生成してもよい。

　ルール生成部２２は、アラート情報記憶部２４に保存されているアラート情報４００に含まれる所定の情報（要素）の組合せ（以下、組合せを「パターン」と呼ぶ）の出現回数を算出する。ただし、本実施形態のパターンは、少なくともクラスタ識別子４０７を含む。

　そして、ルール生成部２２は、アラート情報４００において、所定の閾値（Ｆ_ｔｈ）以上の回数出現するパターン（以下、「頻出パターン」と呼ぶ）の集合（以下、「頻出パターン集合（ＦＳ）」と呼ぶ）を抽出する（ステップＳ２０１）。ただし、ルール生成部２２は、頻出パターン集合（ＦＳ）の抽出において、分類結果４０８が空欄のアラート情報４００を除外する。つまり、ルール生成部２２は、分類結果４０８が設定済みのアラート情報４００から頻出パターン集合（ＦＳ）を抽出する。なお、ルール生成部２２は、一部の項目が同じで、残りの項目が異なる複数のパターンをまとめて上位化したパターンを生成し、生成した上位パターンを頻出パターンとしてもよい。この場合、ルール生成部２２は、異なる項目を、任意の項目（＊）又は全ての値を含む範囲の項目としたパターンを、頻出パターンとすればよい。

　ここで、要素とは、アラート情報４００に含まれるいずれかの情報であれば、特に制限はない。また、閾値（Ｆ_ｔｈ）は、予め、ルール生成部２２に設定されている値である。例えば、オペレータが、予め、ルール生成部２２に、固定値として、閾値（Ｆ_ｔｈ）を与えてもよい。あるいは、ルール生成部２２が、アラート情報記憶部２４に保存されているアラート情報４００の数に応じて、適宜、決定してもよい。

　なお、ルール生成部２２が頻出パターン集合（ＦＳ）を抽出する手法は、特に制限はない。例えば、ルール生成部２２は、頻出パターン集合（ＦＳ）の抽出として、次のような処理を実行してもよい。すなわち、ルール生成部２２は、図５に示す分類ルール５００に含まれる情報の組をトランザクションとみなし、頻出アイテム集合マイニングに用いられる頻出飽和アイテム集合（frequent closed item-sets）を求めてもよい。

　上記の場合、ルール生成部２２は、頻出パターン集合（ＦＳ）の抽出において、各頻出パターン（Ｐ_１）の出現回数をカウントする。

　また、ルール生成部２２は、頻出パターン集合（ＦＳ）に、アラート情報４００に含まれる情報とは異なる情報を含めてもよい。例えば、ルール生成部２２は、頻出パターン集合（ＦＳ）の抽出において、ＩＰアドレスのプレフィックスアドレス（prefix address）のようなアラートに含まれる情報の抽象度を高くした項目を、トランザクションに含めてもよい。

　頻出パターン集合（ＦＳ）の抽出後、ルール生成部２２は、頻出パターン集合（ＦＳ）を基に、分類ルール５００を生成する。具体的には、ルール生成部２２は、頻出パターン集合（ＦＳ）に含まれる頻出パターン（Ｐ_１）に対して、以下の処理を繰り返す（ステップＳ２０２）。ただし、既に説明したとおり、頻出パターン（Ｐ_１）は、一部の項目が、任意の項目（＊）に変更されている場合がある。つまり、分類結果４０８は、任意の項目（＊）となっている場合がある。そのため、ルール生成部２２は、分類結果４０８を含む（分類結果４０８が任意の項目（＊）でない）頻出パターン（Ｐ_１）に対して、以下の処理を繰り返す。

　ルール生成部２２は、分類結果４０８が単一となる頻出パターン（Ｐ_１）に対する分類ルール５００を生成する。

　そのため、まず、ルール生成部２２は、頻出パターン（Ｐ_１）から、その頻出パターン（Ｐ_１）に含まれる分類結果４０８を除外（削除）したパターン（Ｐ２）を生成する（ステップＳ２０３）。以下、除外する分類結果４０８を分類結果（Ｌ）とする。なお、ルール生成部２２は、ステップＳ２０３における除外（削除）として、分類結果４０８を任意の項目（＊）に変更してもよい。この場合、ルール生成部２２は、頻出パターン（Ｐ_１）における分類結果４０８を任意の項目（＊）に変更して、パターン（Ｐ_２）を生成する。

　次に、ルール生成部２２は、パターン（Ｐ_２）が、頻出パターン集合（ＦＳ）に含まれるか否かを判断する（ステップＳ２０４）。

　パターン（Ｐ_２）が、頻出パターン集合（ＦＳ）に含まれる場合（ステップＳ２０４でＹＥＳ）、アラートが、パターン（Ｐ_２）に合致しても、そのアラートの分類結果（Ｌ）は、単一とはならない。つまり、パターン（Ｐ_２）に対応する分類結果（Ｌ）は、複数である。そのため、ルール生成部２２は、パターン（Ｐ_２）に対応する頻出パターン（Ｐ_１）に対応するルールを生成しない（ステップＳ２０５でループ）。

　パターン（Ｐ_２）が、頻出パターン集合（ＦＳ）に含まれない場合（ステップＳ２０４でＮＯ）、頻出パターン集合（ＦＳ）は、パターン（Ｐ_２）に対して飽和アイテム集合である。つまり、パターン（Ｐ_２）に合致するアラートの分類結果（Ｌ）は、単一である。

　ただし、ルール生成部２２が、この条件を満たす頻出パターン（Ｐ_１）の全てに対して、分類ルール５００を生成すると、適合するアラートの範囲に対し、過大な分類ルール５００を生成してしまう可能性がある。そこで、ルール生成部２２は、パターン（Ｐ_２）を基に、分類ルール５００を生成する頻出パターン（Ｐ_１）を制限する。

　そのため、ルール生成部２２は、パターン（Ｐ_２）の詳細度を算出する（ステップＳ２０６）。

　ここで、詳細度とは、パターン（Ｐ_２）に対するアラートの適用範囲の狭さの程度を表す値である。つまり、ルール生成部２２は、詳細度として、パターン（Ｐ_２）を用いた場合に適合すると判断されるアラートの範囲が狭いほど、大きな値を取るように設計された値を用いればよい。

　例えば、ルール生成部２２は、パターン（Ｐ_２）に、特定の項目の要素が含まれる場合、詳細度として、予め決められた値を加算してもよい。この場合、ルール生成部２２は、アラート情報４００に含まれる項目毎に、加算する値を変え、詳細度に対する各項目の寄与の程度を変えてもよい。なお、パターン（Ｐ_２）は、頻出パターン（Ｐ_１）から分類結果（Ｌ）を削除した（又は、任意の項目（＊）とした）パターンである。つまり、詳細度は、頻出パターン（Ｐ_１）に対するアラートの適用範囲の狭さの程度でもある。つまり、詳細度は、パターン（Ｐ_２）及び頻出パターン（Ｐ_１）に対するアラートの適用範囲の狭さの程度である。

　パターン（Ｐ_２）の詳細度の算出後、ルール生成部２２は、算出した詳細度が、所定の閾値（Ｎ_ｔｈ）以上か否かを判断する（ステップＳ２０７）。ここで、閾値（Ｎ_ｔｈ）は、予め、ルール生成部２２に設定されている値である。

　詳細度が閾値（Ｎ_ｔｈ）以上の場合（ステップＳ２０７でＹＥＳ）、ルール生成部２２は、パターン（Ｐ_２）を条件部５０１とし、分類結果（Ｌ）を分類動作部５０９として、分類ルール５００を生成する（ステップＳ２０８）。

　詳細度が閾値（Ｎ_ｔｈ）未満の場合（ステップＳ２０７でＮＯ）、ルール生成部２２は、分類ルール５００を生成しないで、ステップＳ２０５に戻る。

　頻出パターン集合（ＦＳ）に含まれる全ての頻出パターン（Ｐ_１）について処理が完了すると、ルール生成部２２は、ステップＳ２０８において生成した全ての分類ルール５００を、ルール記憶部２５に保存する（ステップＳ２０９）。ただし、ルール生成部２２は、ルール記憶部２５が、既に分類ルール５００を記憶している場合、ルール記憶部２５が記憶している古い分類ルール５００を、全て削除してから、生成した分類ルール５００を保存する。つまり、ルール生成部２２は、古い分類ルール５００を、生成した分類ルール５００で更新する。あるいは、本実施形態のルール生成部２２は、ルール記憶部２５に保存されている分類ルール５００を、生成した分類ルール５００に置き換える。

　ルール生成部２２の動作について、図面を参照して、より詳細に説明する。

　図６は、以下の説明に用いる頻出パターン６０１を含む頻出パターン集合６００の一例を示す図である。つまり、図８のステップＳ２０１において、ルール生成部２２は、図６に示す頻出パターン集合（ＦＳ）を抽出したとする。なお、図６に示す頻出パターン集合６００は、本実形態に係る頻出パターン集合（ＦＳ）の一例である。本実施形態に係る頻出パターン集合（ＦＳ）は、図６に限られるわけではない。

　図６に示す頻出パターン集合６００は、頻出パターン６０１（頻出パターン（Ｐ_１）に相当）と、出現回数６０９と、詳細度６１０とを含む。頻出パターン６０１は、送信元ＩＰアドレス６０２と、送信元ポート番号６０３と、送信先ＩＰアドレス６０４と、送信先ポート番号６０５と、検知ルール識別子６０６と、クラスタ識別子６０７と、分類結果６０８とを含む。上記の頻出パターン６０１が含む各項目は、図４及び図５に示されている各項目と同様である。

　また、出現回数６０９及び詳細度６１０は、それぞれ既に説明した出現回数及び詳細度である。図６において、出現回数６０９及び詳細度６１０は、既に算出済みとする。

　なお、図６において、詳細度６１０は、クラスタ識別子６０７が含まれる場合に「４」を加算し、分類結果６０８を除くその他の各項目が含まれる場合に「１」を加算した値となっている。また、以下の説明において、詳細度６１０の閾値（Ｎ_ｔｈ）は、「５」とする。

　また、パターンを表す場合、「＜」及び「＞」を用いるとする。また、パターンに含まれる任意の項目（「＊」となっている項目）は、記載を省略する。例えば、図６の３行目に示す頻出パターン６０１における分類結果６０８は、「正検知」及び「誤検知」をまとめた任意の項目（＊）であるが、以下では、記載を省略する。

　１行目の頻出パターン６０１から分類結果６０８を除外したパターン（Ｐ_２）は、他の行の頻出パターン６０１に含まれない。なお、この場合のパターン（Ｐ_２）は、＜送信先ＩＰアドレス＝１０．１．０．１、送信先ポート番号＝８０、検知ルール識別子＝Ｓ１、クラスタ識別子＝１＞である。

　さらに、１行目の頻出パターン６０１の詳細度６１０（＝７）は、詳細度６１０の閾値（Ｎ_ｔｈ＝５）を超えている。

　そのため、ルール生成部２２は、１行目の頻出パターン６０１に対応する分類ルール５００を生成する。１行目の頻出パターン６０１を基に生成される分類ルール５００は、図５の１行目に示されている分類ルール５００である。

　２行目の頻出パターン６０１から分類結果６０８を除外したパターン（Ｐ_２）は、３行目の頻出パターン６０１に含まれる。なお、この場合のパターン（Ｐ_２）は、＜送信先ポート番号＝８０，検知ルール識別子＝Ｓ１，クラスタ識別子＝１＞である。

　そのため、ルール生成部２２は、２行目及び３行目の頻出パターン６０１に対応する分類ルール５００を、生成しない。

　５行目の頻出パターン６０１は、詳細度６１０（＝３）が、閾値（Ｎ_ｔｈ＝５）未満である。そのため、ルール生成部２２は、５行目の頻出パターン６０１に対応する分類ルール５００を生成しない。

　４行目の頻出パターン６０１から分類結果６０８を除外したパターン（Ｐ_２）は、他の頻出パターン６０１に含まれない。また、４行目の頻出パターン６０１の詳細度６１０は、閾値（Ｎ_ｔｈ＝５）を超えている。６行目の頻出パターン６０１も、同様である。

　そのため、ルール生成部２２は、４行目及び６行目の頻出パターン６０１に対応する分類ルール５００を生成する。４行目及び６行目の頻出パターン６０１に対応する分類ルール５００は、それぞれ、図５の２行目と３行目に示されている分類ルール５００である。

　上記の通り、本実施形態に係るルール生成部２２は、分類ルール５００の生成において、分類ルール５００の条件部５０１に詳細度６１０に基づく制限を加える。本実施形態のルール生成部２２は、上記の動作を基に、生成される分類ルール５００が過度となることを防いでいる。

　さらに、ルール生成部２２は、詳細度６１０の算出において、クラスタ識別子４０７に基づく詳細度６１０への寄与を大きくし、クラスタ識別子４０７が含まれない場合に詳細度６１０が閾値（Ｎ_ｔｈ）を超えないように、閾値（Ｎ_ｔｈ）を設定してもよい。この場合、ルール生成部２２は、生成される分類ルール５００が、必ず、条件部５０１に、クラスタ識別子５０７を含むようにすることができる。

　なお、上記の説明において、本実施形態のルール生成部２２は、詳細度６１０に基づく分類ルール５００の適合対象の範囲を制御するとして説明した。しかし、本実施形態のルール生成部２２の制御の手段は、上記に限られない。例えば、ルール生成部２２は、「必ずクラスタ識別子を含む」という明示的な条件を基に、分類ルール５００を生成するか否か判断してもよい。

　次に、図面を参照して、ルール適用部２３の動作について説明する。

　図９は、第１の実施形態に係るルール適用部２３におけるルールを適用する動作の一例を示すフローチャートである。ルール適用部２３は、クラスタ解析部２１が、アラート情報記憶部２４に、新たにアラート情報４００（以下、アラート情報（Ａ）とする）を保存したタイミングで、以下の動作を開始する。

　ルール適用部２３は、まず、アラート情報（Ａ）と、分類ルール５００における正検知ルールとを照合する（ステップＳ３０１）。

　ルール適用部２３は、アラート情報（Ａ）と、正検知ルール（つまり、一部の分類ルール５００）との照合として、正検知ルールに含まれる条件部５０１が、アラート情報（Ａ）と適合するか否かを判断する。このとき、ルール適用部２３は、条件部５０１において「＊」となっている項目について、任意の値に対して適合と判断する。ルール適用部２３は、その他の項目については、条件部５０１の値との一致を、適合と判断する。

　そして、アラート情報（Ａ）が、いずれかの正検知ルールにおける条件部５０１の全ての項目に適合した場合、ルール適用部２３は、アラート情報（Ａ）が、正検知ルールに適合したと判断する。

　ルール適用部２３は、照合の結果として、アラート情報（Ａ）が、少なくともいずれか１つの正検知ルールに適合したか否かを判断する（ステップＳ３０２）。

　アラート情報（Ａ）が、少なくともいずれか１つ正検知ルールに適合した場合（ステップＳ３０２でＹＥＳ）、ルール適用部２３は、アラート情報（Ａ）を正検知であると判断する。そして、ルール適用部２３は、アラート情報記憶部２４に保存されているアラート情報（Ａ）の分類結果４０８を「正検知」に設定又は変更する（ステップＳ３０３）。より詳細には、ルール適用部２３は、次のように動作する。

　分類結果４０８が、「正検知」に設定済みの場合、ルール適用部２３は、何も動作しない。分類結果４０８が、「誤検知」又は「空欄」の場合、ルール適用部２３は、分類結果４０８に「正検知」を書き込む。つまり、ルール適用部２３は、分類結果４０８を、「正検知」に変更する。

　あるいは、ルール適用部２３は、分類結果４０８の内容の確認を省略し、常に、分類結果４０８に「正検知」を上書きしてもよい。つまり、ルール適用部２３は、常に、分類結果４０８に「正検知」を設定してもよい。

　アラート情報（Ａ）が、いずれの正検知ルールにも適合しなかった場合（ステップＳ３０２でＮＯ）、ルール適用部２３は、アラート情報（Ａ）と誤検知ルールとを照合する（ステップＳ３０４）。ステップＳ３０４における誤検知ルールとの照合の手順は、正検知ルールの場合と同様である。

　ルール適用部２３は、照合の結果として、アラート情報（Ａ）が、少なくともいずれか１つの誤検知ルールに適合したか否かを判断する（ステップＳ３０５）。

　アラート情報（Ａ）が、少なくともいずれか１つの誤検知ルールに適合した場合（ステップＳ３０５でＹＥＳ）、ルール適用部２３は、アラート情報（Ａ）が誤検知であると判断する。そして、ルール適用部２３は、アラート情報記憶部２４に保存されているアラート情報（Ａ）の分類結果４０８を「誤検知」に設定又は変更する（ステップＳ３０６）。ステップＳ３０６における設定又は変更する動作は、ステップＳ３０３と同様である。

　アラート情報（Ａ）が、いずれの誤検知ルールにも適合しなかった場合（ステップＳ３０５でＮＯ）、ルール適用部２３は、アラート情報（Ａ）に対する分類結果４０８を変更しない。この場合、アラート情報記憶部２４に保存されているアラート情報（Ａ）の分類結果４０８は、変化しない。例えば、分類結果４０８が、未入力、又は、初期値である「空欄」の場合、分類結果４０８は、「空欄」のままとなる。

　［効果の説明］
　次に、本実施形態の効果について説明する。

　本実施形態に係る情報処理装置２０は、適切な分類ルール５００を生成するとの効果を奏することができる。

　その理由は、次のとおりである。

　本実施形態に係る情報処理装置２０のクラスタ解析部２１は、アラートに含まれる通信情報４０９の類似度に基づき、アラートのクラスタリングを実行する。そして、本実施形態に係るアラート情報４００は、クラスタリングの結果であるクラスタ識別子４０７を含む。そして、クラスタ解析部２１は、頻出しているアラート情報４００を基に、頻出するパターンである頻出パターン（Ｐ_１）を抽出する。ここで、頻出パターン（Ｐ_１）は、クラスタ識別子４０７を含む。そして、クラスタ解析部２１は、頻出パターン（Ｐ_１）を基に、分類ルール５００を生成する。そのため、情報処理装置２０は、生成した分類ルール５００の適合条件に、アラートに含まれる通信情報４０９の類似性に関する情報（クラスタ識別子４０７）を含めることができる。つまり、本実施形態に係る情報処理装置２０は、通信情報４０９の類似性に関する判断基準を含む分類ルール５００を生成できるためである。

　＜第２の実施形態＞
　次に、第２の実施形態に係る情報処理装置６０について図面を参照して説明する。

　本実施形態の情報処理装置６０は、第１の実施形態と比較して、分類ルール５５０が含む情報が異なる。より具体的には、本実施形態の分類ルール５５０は、第１の実施形態の説明に用いた分類ルール５００が含む情報に加え、さらに、有効フラグ５１０を含む。

　図１３は、第２の実施形態に係る分類ルール５５０の一例を示す図である。

　図１３に示すように、本実施形態に係る分類ルール５５０は、図５に示す分類ルール５００が含む情報に加え、有効フラグ５１０を含む。

　有効フラグ５１０は、その分類ルール５５０が有効であるか否かを表す情報である。有効フラグ５１０の値は、特に制限はない。そのため、以下の説明では、一例として、有効フラグ５１０の「１」の値が、「有効（真）」を示し、「０」の値が、「無効（偽）」を示すとする。言い換えると、情報処理装置６０は、有効フラグ５１０に「１」に設定されている分類ルール５５０を利用し、有効フラグ５１０に「０」に設定されている分類ルール５５０を利用しない。

　なお、有効フラグ５１０の初期値は、「０」、つまり「無効」が設定されているとする。これは、分類ルール５５０が、過度に保存されないようにするためである。ただし、情報処理装置６０は、分類ルール５５０の保存を優先し、初期値を「１（有効）」としてもよい。

　次に、第２の実施形態に係る情報処理装置６０の構成について、図面を参照して説明する。

　図１０は、第２の実施形態に係る情報処理装置６０を含む情報処理システム１１の構成の一例を示すブロック図である。図１０に示すように、情報処理システム１１は、第１の実施形態の情報処理システム１０と比較して、情報処理装置２０及び提示装置３０に換えて、情報処理装置６０及び提示装置７０を含む点で異なる。そのため、以下、第１の実施形態と同様の構成及び動作の説明を省略し、第１の実施形態と異なる構成及び動作を中心に説明する。

　図１１は、本実施形態に係る情報処理装置６０の構成の一例を示すブロック図である。図１１に示すように、情報処理装置６０は、第１の実施形態の情報処理装置２０と比較して、ルール生成部２２、ルール適用部２３、及び、ルール記憶部２５に換えて、ルール生成部２６、ルール適用部２７、及び、ルール記憶部２８を含む点が異なる。

　ルール生成部２６は、第１の実施形態のルール生成部２２と同様に、分類ルール５５０を生成する。ただし、ルール生成部２６は、ルール生成部２２と比較して、分類ルール５５０を保存する動作が異なる。より詳細には、ルール生成部２６は、生成し分類ルール５５０をルール記憶部２８に保存するときに、ルール記憶部２８に保存されている古い分類ルール５５０を削除する動作が異なる。

　すなわち、ルール生成部２６は、ルール記憶部２８に保存されている古い分類ルール５５０の中で、有効フラグ５１０が「０（無効）」である分類ルール５５０、つまり、無効な分類ルール５５０を削除する。その結果、有効フラグ５１０が「１（有効）」である分類ルール５５０は、保存される。

　なお、第１の実施形態に係るルール生成部２２は、ルール記憶部２５に保存されている分類ルール５００を削除後、ルール記憶部２５に生成した分類ルール５００を保存する。そのため、ルール生成部２２が保存する分類ルール５００は、重複がない。

　一方、ルール生成部２６は、有効な分類ルール５５０を残して、生成した分類ルール５５０を保存するため、複数の同一の分類ルール５５０を保存する可能性がある。

　そこで、ルール生成部２６は、生成した分類ルール５５０を保存するときに、分類ルール５５０の重複を確認し、重複していない分類ルール５５０を保存する。

　より詳細には、ルール生成部２６は、生成した各分類ルール５５０と、ルール記憶部２８に保存されている各分類ルール５５０とにおける条件部５０１及び分類動作部５０９の比較を基に、分類ルール５５０の重複を判断する。

　言い換えると、ルール生成部２６は、生成した分類ルール５５０の条件部５０１及び分類動作部５０９と同じ条件部５０１及び分類動作部５０９を含む分類ルール５５０が、ルール記憶部２８に記憶されているか否かを確認する。そして、ルール生成部２６は、ルール記憶部２８に保存されている分類ルール５５０における条件部５０１及び分類動作部５０９と、少なくとも一部が異なる条件部５０１及び分類動作部５０９を含む分類ルール５５０を、ルール記憶部２８に保存する。

　ルール生成部２６は、上記の動作を基に、有効フラグ５１０が「１（有効）」に設定された分類ルール５５０を、生成した分類ルール５５０を保存する処理において削除することを防いでいる。さらに、ルール生成部２６は、ルール記憶部２８に保存される分類ルール５５０の重複を防いでいる。

　ルール記憶部２８は、上記のように、ルール生成部２６が生成した分類ルール５５０を記憶する。

　ルール適用部２７は、第１の実施形態のルール適用部２３と同様に、分類ルール５５０を適用する。ただし、ルール適用部２７は、ルール適用部２３と比較して、分類ルール５５０の中で有効フラグ５１０が「１（有効）」である分類ルール５５０を適用する点が異なる。より詳細には、ルール適用部２７は、分類ルール５５０を適用するか否かの判断において、有効フラグ５１０が「１（有効）」である分類ルール５５０を用いる。

　すなわち、ルール適用部２７は、分類ルール５５０を適用する処理において、アラート情報（Ａ）と正検知ルールとを照合するときに、有効フラグ５１０が「１（有効）」である正検知ルールを用いる。同様に、ルール適用部２７は、アラート情報（Ａ）と誤検知ルールとを照合するときに、有効フラグ５１０が「１（有効）」である誤検知ルールを用いる。

　次に、本実施形態に係る提示装置７０について、図面を参照して説明する。

　図１２は、第２の実施形態に係る提示装置７０の構成の一例を示すブロック図である。図１２に示すように、提示装置７０は、第１の実施形態の提示装置３０の構成に加え、ルール表示部３３と、ルール承認部３４とを含む。そのため、第１の実施形態と同様の構成及び作用についての詳細な説明を省略する。

　ルール表示部３３は、情報処理装置６０から、ルール記憶部２８に保存されている分類ルール５５０を受信し、情報処理システム１１のオペレータに表示する。つまり、オペレータは、ルール表示部３３の表示を基に、分類ルール５５０の内容を確認できる。なお、ルール表示部３３は、オペレータに対して提示する情報として、分類ルール５５０に含まれる情報とは異なる情報を表示してもよい。例えば、ルール表示部３３は、オペレータに対して、分類ルール５５０に加え、各分類ルール５５０に対応した頻出パターン（Ｐ_１）の出現回数を表示してもよい。

　ルール承認部３４は、オペレータからの分類ルール５５０に対する入力（指示）を受け付け、受け付けた入力内容を、情報処理装置６０に送信する。より詳細には、ルール承認部３４は、オペレータが指定した分類ルール５５０に対する「有効」又は「無効」との指示を受け付け、情報処理装置６０に送信する。

　情報処理装置６０は、提示装置７０から受信した指示を基に、ルール記憶部２８に保存されている分類ルール５５０の有効フラグ５１０を設定又は変更する。つまり、オペレータは、提示装置７０を用いて、情報処理装置６０が記憶している分類ルール５５０の内容を確認し、その分類ルール５５０の有効フラグ５１０を設定できる。

　［効果の説明］
　本実施形態に係る情報処理装置６０は、第１の実施形態の効果に加え、より適切に利用可能な分類ルール５５０を生成するとの効果を奏することができる。

　その理由は、次のとおりである。

　情報処理装置６０のルール生成部２６は、分類ルール５５０の有効フラグ５１０を基に、無効な分類ルール５５０を削除し、有効な分類ルール５５０を残すためである。また、ルール適用部２７は、分類ルール５５０の有効フラグ５１０を基に、有効な分類ルール５５０を、判断に用いるためである。

　さらに、本実施形態に係る情報処理装置６０及び提示装置７０を含む情報処理システム１１は、オペレータの指示に基づいて、情報処理装置６０が記憶している分類ルール５５０の有効及び無効を変更又は設定できるとの効果を奏する。

　その理由は、次のとおりである。

　情報処理システム１１に含まれる提示装置７０のルール表示部３３が、情報処理装置６０に記憶されている分類ルール５５０を表示する。そして、提示装置７０のルール承認部３４が、分類ルール５５０に有効又は無効に関する情報を受信し、情報処理装置６０に送信できるためである。そして、情報処理装置６０が、受信した情報を基に有効フラグ５１０を設定又は変更するためである。

　このように、本実施形態に係る情報処理装置６０を含む情報処理システム１１は、オペレータに対して、分類ルール５５０の有効性の判断結果を分類ルール５５０に反映する手段を提供する。そのため、情報処理システム１１は、分類ルール５５０が過度に適用されて、誤分類が発生することを抑制するとの効果を奏することができる。

　＜第３の実施形態＞
　次に、第３の実施形態に係る情報処理装置８０について図面を参照して説明する。

　図１４は、第３の実施形態に係る情報処理装置８０を含む情報処理システム１２の構成の一例を示すブロック図である。図１４に示すように、情報処理システム１２は、第１の実施形態の情報処理システム１０と比較して、情報処理装置２０に換えて、情報処理装置８０を含む点で異なる。そのため、以下、第１の実施形態と同様の構成及び動作の説明を省略し、第１の実施形態と異なる構成及び動作を中心に説明する。

　図１５は、第３の実施形態に係る情報処理装置８０の構成の一例を示すブロック図である。図１５に示すように、情報処理装置８０は、第１の実施形態の情報処理装置２０と比較して、ルール生成部２２に換えて、ルール生成部２９を含む点が異なる。

　ルール生成部２９は、ルール生成部２２と比較して、分類ルール５００を生成する動作が異なる。ルール生成部２９のその他の動作は、ルール生成部２２と同じため、その他の動作の詳細な説明を省略する。

　図１６は、第３の実施形態に係るルール生成部２９におけるルールを生成する動作の一例を示すフローチャートである。図１６に示すように、ルール生成部２９は、ステップＳ２０８におけるルールを生成する動作の前に、分類ルール５００の適合期間を判断する。ルール生成部２９のその他の動作は、ルール生成部２２と同じため、その他の動作の詳細な説明を省略し、本実施形態に特有の動作について説明する。

　詳細度６１０が閾値（Ｎ_ｔｈ）以上の場合（ステップＳ２０７でＹＥＳ）、ルール生成部２９は、パターン（Ｐ_２）の適合期間を算出する（ステップＳ２１１）。

　ここで、適合期間とは、ルール生成部２９が、パターン（Ｐ_２）を、分類ルール５００の生成に用いるか否かの判断に用いる期間である。適合期間は、ルール生成部２９が、アラート情報４００を基に、算出する値である。例えば、ルール生成部２９は、次のように、適合期間を算出する。

　まず、ルール生成部２９は、頻出パターン集合（ＦＳ）の抽出に用いたアラート情報４００において、パターン（Ｐ_２）を条件部５０１とした分類ルール５００に適合するアラート情報４００を抽出する。次に、ルール生成部２９は、抽出したアラート情報４００に含まれる検知時刻４０１の中で、最も早い時刻と最も遅い時刻とを抽出する。そして、ルール生成部２９は、抽出した最も遅い時刻から最も早い時刻を減算した値を、適合期間とする。つまり、ルール生成部２９は、抽出したアラート情報４００の検知時刻４０１の範囲を適合期間とする。

　ここで、適合期間が短いパターン（Ｐ_２）は、短期間又は突発的に発生したアラートに基づくパターン（Ｐ_２）である可能性が高い。つまり、適合期間が短いパターン（Ｐ_２）は、今後、そのパターン（Ｐ_２）に適合するアラートが出現する可能性が低い。

　そのため、ルール生成部２９は、上記のように算出した適合期間を用いて、パターン（Ｐ_２）が、短期間若しくは突発的に発生したアラートに基づくか、又は、長期的に出現するアラートに基づくかを判断することができる。つまり、ルール生成部２９は、適合期間を基に、今後、適合するアラートの出現する可能性が低いパターン（Ｐ_２）に対応する分類ルール５００の追加を抑制できる。

　そこで、適合期間の算出後、ルール生成部２９は、算出した適合期間を、所定の閾値（Ｔ_ｔｈ）と比較する（ステップＳ２１０）。この閾値（Ｔ_ｔｈ）は、予め、ルール生成部２９に設定されている値である。

　適合期間が、閾値（Ｔ_ｔｈ）未満である場合（ステップＳ２１０でＮＯ）、ルール生成部２９は、そのパターン（Ｐ_２）に対応する分類ルール５００を生成しないで、ステップＳ２０５に戻る。

　適合期間が、閾値（Ｔ_ｔｈ）以上である場合（ステップＳ２１０でＹＥＳ）、ルール生成部２９は、第１の実施形態と同様に、ステップＳ２０８に進み、そのパターン（Ｐ_２）に対応する分類ルール５００を生成する。

　なお、情報処理装置８０は、第２の実施形態の情報処理装置６０に含まれるルール生成部２６、ルール適用部２７、及び、ルール記憶部２８の機能を含んでもよい。つまり、情報処理装置８０は、有効フラグ５１０を用いてもよい。

　ここまでの説明では、ルール生成部２９が、適合期間を用いて分類ルール５００の生成を生成するか否かを判断した。しかし、ルール生成部２９の判断は、上記に限る必要はない。ルール生成部２９は、分類ルール５００を生成するか否かの判断において、アラート情報４００に含まれる検知時刻４０１を用いればよい。例えば、ルール生成部２９は、適合するアラート情報４００の検知時刻４０１の最も遅い時刻が、所定の時刻よりも前の場合、つまり、所定の時刻以降にアラートが発生していない場合に、分類ルール５００を生成しないようにしてもよい。つまり、ルール生成部２９は、現在から所定の時間前までに発生したアラートに対する分類ルール５００を生成するようにしてもよい。

　第３の実施形態に係る情報処理装置８０は、第１に実施形態の効果に加え、より適切な分類ルール５００を生成するとの効果を奏することができる。

　その理由は、次のとおりである。

　本実施形態に係る情報処理装置８０のルール生成部２９は、分類ルール５００の生成において、パターン（Ｐ_２）に関する適合期間を用いる。より詳細には、ルール生成部２９は、適合期間が所定の閾値（Ｔ_ｔｈ）より短いパターン（Ｐ_２）に関連する分類ルール５００を追加しない。つまり、ルール生成部２９は、短期間又は突発的に発生したアラートに基づくパターン（Ｐ_２）に対応する分類ルール５００の生成を抑制するためである。

　そのため、ルール生成部２９は、上記動作を基に、分類ルール５００の数の増加、及び、分類ルール５００の数の増加に伴う処理コストの増加を抑制できる。

　＜変形例＞
　以上の説明した情報処理装置２０、情報処理装置６０、及び、情報処理装置８０（以下、まとめて、情報処理装置２０として説明する）は、次のように構成される。

　例えば、情報処理装置２０の各構成部は、ハードウェア回路で構成されてもよい。

　また、情報処理装置２０は、各構成部が、図示しないネットワークを介して接続された複数の装置を用いて、構成されてもよい。例えば、情報処理装置２０は、アラート情報記憶部２４、及び／又は、ルール記憶部２５を、図示しない外部の記憶装置として構成されてもよい。

　図１８は、情報処理装置２０の第１の変形例に係る情報処理装置９０の構成の一例を示すブロック図である。

　情報処理装置９０は、アラート情報記憶部２４と、ルール記憶部２５とを、図示しないネットワークなどを介して接続された外部の記憶装置として構成されている。

　そのため、情報処理装置９０は、クラスタ解析部２１と、ルール生成部２２と、ルール適用部２３とを含む。情報処理装置９０に含まれる各部は、第１の実施形態と同様である。

　このように構成された情報処理装置９０は、情報処理装置２０と同様の効果を得ることができる。

　その理由は、情報処理装置９０に含まれる各構成が、外部の記憶装置に設けられたアラート情報記憶部２４及びルール記憶部２５を用いて、情報処理装置２０の構成と同様に動作できるためである。

　なお、情報処理装置９０は、本発明の実施形態における最小構成である。

　また、情報処理装置２０は、複数の構成部を１つのハードウェアで構成されてもよい。

　また、情報処理装置２０は、ＣＰＵ（Central Processing Unit）と、ＲＯＭ（Read Only Memory）と、ＲＡＭ（Random Access Memory）とを含むコンピュータ装置として実現されてもよい。情報処理装置２０は、上記構成に加え、さらに、入出力接続回路（ＩＯＣ：Input / Output Circuit）と、ネットワークインターフェース回路（ＮＩＣ：Network Interface Circuit）とを含むコンピュータ装置として実現されてもよい。

　図１７は、情報処理装置２０の第２の変形例に係る情報処理装置７００の構成の一例を示すブロック図である。つまり、図１７は、情報処理装置２０を上記のコンピュータ装置として実現した場合の一例である情報処理装置７００の構成の一例を示すブロック図である。

　情報処理装置７００は、ＣＰＵ７１０と、ＲＯＭ７２０と、ＲＡＭ７３０と、内部記憶装置７４０と、ＩＯＣ７５０と、ＮＩＣ７８０とを含み、コンピュータを構成している。

　ＣＰＵ７１０は、ＲＯＭ７２０からプログラムを読み込む。そして、ＣＰＵ７１０は、読み込んだプログラムに基づいて、ＲＡＭ７３０と、内部記憶装置７４０と、ＩＯＣ７５０と、ＮＩＣ７８０とを制御する。そして、ＣＰＵ７１０を含むコンピュータは、これらの構成を制御し、図２に示す、クラスタ解析部２１と、ルール生成部２２と、ルール適用部２３としての各機能を実現する。

　ＣＰＵ７１０は、各機能を実現する際に、ＲＡＭ７３０又は内部記憶装置７４０を、プログラムの一時記憶として使用してもよい。

　また、ＣＰＵ７１０は、コンピュータで読み取り可能にプログラムを記憶した記憶媒体７９０が含むプログラムを、図示しない記憶媒体読み取り装置を用いて読み込んでもよい。あるいは、ＣＰＵ７１０は、ＮＩＣ７８０を介して、図示しない外部の装置からプログラムを受け取り、ＲＡＭ７３０に保存して、保存したプログラムを基に動作してもよい。

　ＲＯＭ７２０は、ＣＰＵ７１０が実行するプログラム及び固定的なデータを記憶する。ＲＯＭ７２０は、例えば、Ｐ－ＲＯＭ（Programmable-ROM）又はフラッシュＲＯＭである。

　ＲＡＭ７３０は、ＣＰＵ７１０が実行するプログラム及びデータを一時的に記憶する。ＲＡＭ７３０は、例えば、Ｄ－ＲＡＭ（Dynamic-RAM）である。

　内部記憶装置７４０は、情報処理装置７００が長期的に保存するデータ及びプログラムを記憶する。また、内部記憶装置７４０は、ＣＰＵ７１０の一時記憶装置として動作してもよい。内部記憶装置７４０は、アラート情報記憶部２４及びルール記憶部２５として動作する。内部記憶装置７４０は、例えば、ハードディスク装置、光磁気ディスク装置、ＳＳＤ（Solid State Drive）又はディスクアレイ装置である。

　ここで、ＲＯＭ７２０と内部記憶装置７４０は、不揮発性（non-transitory）の記憶媒体である。一方、ＲＡＭ７３０は、揮発性（transitory）の記憶媒体である。そして、ＣＰＵ７１０は、ＲＯＭ７２０、内部記憶装置７４０、又は、ＲＡＭ７３０に記憶されているプログラムを基に動作可能である。つまり、ＣＰＵ７１０は、不揮発性記憶媒体又は揮発性記憶媒体を用いて動作可能である。

　ＩＯＣ７５０は、ＣＰＵ７１０と、入力機器７６０及び表示機器７７０とのデータを仲介する。ＩＯＣ７５０は、例えば、ＩＯインターフェースカード又はＵＳＢ（Universal Serial Bus）カードである。

　入力機器７６０は、情報処理装置７００の操作者からの入力指示を受け取る機器である。入力機器７６０は、例えば、キーボード、マウス又はタッチパネルである。

　表示機器７７０は、情報処理装置７００の操作者に情報を表示する機器である。表示機器７７０は、例えば、液晶ディスプレイである。

　ＮＩＣ７８０は、ネットワークを介した図示しない外部の装置とのデータのやり取りを中継する。ＮＩＣ７８０は、例えば、ＬＡＮ（Local Area Network）カードである。

　このように構成された情報処理装置７００は、情報処理装置２０と同様の効果を得ることができる。

　その理由は、情報処理装置７００のＣＰＵ７１０が、プログラムに基づいて情報処理装置２０と同様の機能を実現できるためである。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　この出願は、２０１５年　６月２６日に出願された日本出願特願２０１５－１２８７６９を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１０　情報処理システム
　１１　情報処理システム
　１２　情報処理システム
　２０　情報処理装置
　２１　クラスタ解析部
　２２　ルール生成部
　２３　ルール適用部
　２４　アラート情報記憶部
　２５　ルール記憶部
　２６　ルール生成部
　２７　ルール適用部
　２８　ルール記憶部
　２９　ルール生成部
　３０　提示装置
　３１　アラート表示部
　３２　入力部
　３３　ルール表示部
　３４　ルール承認部
　４０　ネットワーク
　５０　監視装置
　６０　情報処理装置
　７０　提示装置
　８０　情報処理装置
　９０　情報処理装置
　４００　アラート情報
　４０１　検知時刻
　４０２　送信元ＩＰアドレス
　４０３　送信元ポート番号
　４０４　送信先ＩＰアドレス
　４０５　送信先ポート番号
　４０６　検知ルール識別子
　４０７　クラスタ識別子
　４０８　分類結果
　４０９　通信情報
　５００　分類ルール
　５０１　条件部
　５０２　送信元ＩＰアドレス
　５０３　送信元ポート番号
　５０４　送信先ＩＰアドレス
　５０５　送信先ポート番号
　５０６　検知ルール識別子
　５０７　クラスタ識別子
　５０８　分類結果
　５０９　分類動作部
　５１０　有効フラグ
　５５０　分類ルール
　６００　頻出パターン集合
　６０１　頻出パターン
　６０２　送信元ＩＰアドレス
　６０３　送信元ポート番号
　６０４　送信先ＩＰアドレス
　６０５　送信先ポート番号
　６０６　検知ルール識別子
　６０７　クラスタ識別子
　６０８　分類結果
　６０９　出現回数
　６１０　詳細度
　７００　情報処理装置
　７１０　ＣＰＵ
　７２０　ＲＯＭ
　７３０　ＲＡＭ
　７４０　内部記憶装置
　７５０　ＩＯＣ
　７６０　入力機器
　７７０　表示機器
　７８０　ＮＩＣ
　７９０　記憶媒体

Claims

　アラートに含まれる通信された情報である通信情報を基づいて前記アラートを分類した結果であるクラスタを示すクラスタ識別子を決定し、前記アラートが正検知であるか誤検知であるかの分類である分類結果を受信し、前記アラートと前記クラスタ識別子と前記分類結果とを含む情報であるアラート情報を生成するクラスタ解析手段と、
　前記アラート情報において、前記アラート情報に含まれる情報の組合せで、少なくとも前記クラスタ識別子を含むパターンの出現回数を算出し、所定の閾値より出現回数が多いパターンである頻出パターンを抽出し、抽出した前記頻出パターンを基に前記アラートに関連付けられた前記分類結果の設定又は更新に用いられる分類ルールを生成し、過去に生成した古い分類ルールを新たに生成した分類ルールで更新するルール生成手段と、
　前記分類ルールに基に前記アラート情報に含まれる前記分類結果を設定又は更新するルール適用手段と
　を含む情報処理装置。
　前記クラスタ解析手段が、
　前記通信情報の類似度を基に前記クラスタ識別子を決定する
　請求項１に記載の情報処理装置。
　前記ルール生成手段が、
　前記頻出パターンにおいて前記頻出パターンに含まれる前記分類結果が同一となっている前記頻出パターンを基に前記分類ルールを生成する
　請求項１又は２に記載の情報処理装置。
　前記ルール生成手段が、
　前記頻出パターンに対する前記アラートの適用範囲の狭さの程度である詳細度を算出し、所定の閾値より大きな前記詳細度を持つ前記頻出パターンに対する前記分類ルールを生成する
　請求項１ないし３のいずれか１項に記載の情報処理装置。
　前記分類ルールが、さらに、
　その前記分類ルールが有効であるか否かを示す有効フラグを含み、
　前記ルール生成手段が、
　過去に生成した古い前記分類ルールを新たに生成した前記分類ルールで更新する際に、前記有効フラグが無効となっている前記分類ルールを削除し、前記有効フラグが有効となっている前記分類ルールを削除せずに更新し、
　前記ルール適用手段が、
　前記有効フラグが有効となっている前記分類ルールを基に前記アラートに関連付けられた前記分類結果を設定又は更新する
　請求項１ないし４のいずれか１項に記載の情報処理装置。
　前記アラート情報が、さらに、
　前記アラートが検知された検知時刻を含み、
　前記ルール生成手段が、
　前記頻出パターンと適合する前記アラート情報の検知時刻を基に、前記分類ルールに生成に用いる前記頻出パターンを選択する
　請求項１ないし５のいずれか１項に記載の情報処理装置。
　請求項１ないし６のいずれか１項に記載の情報処理装置と、
　前記情報処理装置から前記アラート情報を受信し、受信した前記アラート情報を表示するアラート表示手段と、
　表示された前記アラート情報に対する前記分類結果の入力を受信し、受信した前記入力を前記情報処理装置に送信する入力手段と
　を含む提示装置と
　を含む情報処理システム。
　前記提示装置が、さらに、
　前記情報処理装置から前記分類ルールを受信し、受信した前記分類ルールを表示するルール表示手段と、
　表示された前記分類ルールに対する有効又は無効である指示を受信し、受信した前記指示を前記情報処理装置に送信するルール承認手段と
　を含む請求項７に記載の情報処理システム。
　アラートに含まれる通信された情報である通信情報を基づいて前記アラートを分類した結果であるクラスタを示すクラスタ識別子を決定し、
　前記アラートが正検知であるか誤検知であるかの分類である分類結果を受信し、
　前記アラートと前記クラスタ識別子と前記分類結果とを含む情報であるアラート情報を生成し、
　前記アラート情報において、前記アラート情報に含まれる情報の組合せで、少なくとも前記クラスタ識別子を含むパターンの出現回数を算出し、
　所定の閾値より出現回数が多いパターンである頻出パターンを抽出し、
　前記抽出した頻出パターンを基に前記アラートに関連付けられた前記分類結果の設定又は更新に用いられる分類ルールを生成し、
　過去に生成した古い分類ルールを新たに生成した分類ルールで更新し、
　前記分類ルールに基に前記アラート情報に含まれる前記分類結果を設定又は更新する
　情報処理方法。
　アラートに含まれる通信された情報である通信情報を基づいて前記アラートを分類した結果であるクラスタを示すクラスタ識別子を決定する処理と、
　前記アラートが正検知であるか誤検知であるかの分類である分類結果を受信する処理と、
　前記アラートと前記クラスタ識別子と前記分類結果とを含む情報であるアラート情報を生成する処理と、
　前記アラート情報において、前記アラート情報に含まれる情報の組合せで、少なくとも前記クラスタ識別子を含むパターンの出現回数を算出する処理と、
　所定の閾値より出現回数が多いパターンである頻出パターンを抽出する処理と、
　前記抽出した頻出パターンを基に前記アラートに関連付けられた前記分類結果の設定又は更新に用いられる分類ルールを生成する処理と、
　画に生成した古い分類ルールを新たに生成した分類ルールで更新する処理と、
　前記分類ルールに基に前記アラート情報に含まれる前記分類結果を設定又は更新する処理と
　をコンピュータに実行させるプログラムをコンピュータ読み取り可能に記憶する記憶媒体。