CN112740185A - 分析装置、分析系统、分析方法以及程序 - Google Patents

分析装置、分析系统、分析方法以及程序 Download PDF

Info

Publication number
CN112740185A
CN112740185A CN201980062049.0A CN201980062049A CN112740185A CN 112740185 A CN112740185 A CN 112740185A CN 201980062049 A CN201980062049 A CN 201980062049A CN 112740185 A CN112740185 A CN 112740185A
Authority
CN
China
Prior art keywords
log
log data
devices
analysis
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201980062049.0A
Other languages
English (en)
Inventor
田中政志
冈野靖
小山卓麻
长谷川庆太
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of CN112740185A publication Critical patent/CN112740185A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种分析装置,具有:接收部,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测,从而使对跨多个设备发生的事件的发生进行检测成为可能。

Description

分析装置、分析系统、分析方法以及程序
技术领域
本发明涉及分析装置、分析系统、分析方法以及程序。
背景技术
以往,具有搭载于用于控制IoT(Internet of Things)设备、机器人等的产业机械的IoT设备的控制设备、或者用于管理其连接的网络设备(以下,仅将这些统称为“设备”。)上,并且用于检测网络攻击的监视/检测软件、监视/检测装置。另外,这些设备检测到的网络攻击的检测日志被上传至配置在中心服务器上的分析服务器。
监视/检测软件、监视/检测装置对由设备取得的通信日志、系统日志进行监视,从而检测网络攻击。另外,中心服务器对网络攻击的检测日志进行详细的分析,从而进行攻击手段等的网络攻击的详细内容的把握。
<现有技术文献>
<非专利文献>
非专利文献1:“ITシステムや制御システム、IoTなど多様な環境におけるセキュリティインシデントの解決を世界規模で支援する統合セキュリティオペレーションセンターを開設”、[online]、因特网<URL:https://www.hitachi-systems.com/news/2017/20171031_01.html>
发明内容
<本发明要解决的问题>
但是,若仅对来自各设备的日志个别地进行分析,则存在检测困难的事件。例如,在个别的分析中,对跨多个设备发生的事件(例如,大規模的网络攻击等)的发生进行检测是困难的。
本发明是鉴于上述这点而成的,其目的在于,使对跨多个设备发生的事件的发生进行检测成为可能。
<用于解决问题的手段>
于是为了解决上述课题,分析装置具有:接收部,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测。
<发明的效果>
使对跨多个设备发生的事件的发生进行检测成为可能。
附图说明
图1是示出本发明的实施方式中的系统构成例的图。
图2是示出本发明的实施方式中的监视服务器10的硬件构成例的图。
图3是示出本发明的实施方式中的车辆20的硬件构成例的图。
图4是示出本发明的实施方式中的车辆20以及监视服务器10的功能构成例的图。
图5是用于说明监视服务器10所执行的处理步骤的一个例子的流程图。
具体实施方式
以下,基于附图对本发明的实施方式进行说明。图1是示出本发明的实施方式中的系统构成例的图。在图1中,多个车辆20是通过因特网等的网络N1与各种服务器(监视服务器10、汽车公司正式服务器30a、服务提供服务器30b等)连接的汽车(互联汽车)。例如,各车辆20通过移动通信网等的无线网络与网络N1连接,从而与各种服务器通信。
汽车公司正式服务器30a是车辆20的汽车公司运营的、通过网络N1进行车辆20(互联汽车)的管理以及汽车公司的正式服务提供的一台以上的计算机。例如,汽车公司正式服务器30a可以提供远程信息处理服务。
服务提供服务器30b是第三者运营的、针对车辆20的利用者提供为了提高车辆20的便利性的各种服务的一台以上的计算机。
监视服务器10是基于自车辆20发送(上传)的数据,进行对跨多个车辆20的事件的发生的检测等的一台以上的计算机。
图2是示出本发明的实施方式中的监视服务器10的硬件构成例的图。在图2中,监视服务器10具有分别通过总线B彼此连接的驱动装置100、辅助存储装置102、存储器装置103、CPU104、以及接口装置105等。
用于实现在监视服务器10的处理的程序由CD-ROM等的存储介质101提供。若将存储有程序的存储介质101安置于驱动装置100,则程序自存储介质101通过驱动装置100安装于辅助存储装置102。但是,程序的安装并非必须通过存储介质101进行,也可以通过网络自其他的计算机下载。辅助存储装置102储存安装的程序,并且储存必要的文件、数据等。
在收到程序的启动指示的情况下,存储器装置103自辅助存储装置102读取并储存程序。CPU104依照在存储器装置103中储存的程序来执行监视服务器10的功能。接口装置105用作连接网络的接口。
图3是示出本发明的实施方式中的车辆20的硬件构成例的图。在图3中,车辆20包括通信装置210、信息类子系统220、控制类子系统230以及网关设备240等。
通信装置210包括用于连接网络N1的通信模块、用于与其他的车辆20或道路上的设备等进行通信的通信模块、以及用于通过无线LAN或近距离无线通信与智能手机等连接的通信模块等。
信息类子系统220是根据安装的程序来执行信息处理的部分,包括CPU221、存储器装置222、辅助存储装置223、显示装置224以及输入装置225等。在辅助存储装置223中存储安装的程序、被该程序利用的各种数据。存储器装置222自辅助存储装置223读取并储存作为启动对象的程序。CPU221依照储存于存储器装置222的程序来执行信息类子系统220的功能。显示装置224用于显示基于程序的GUI(Graphical User Interface)等。输入装置225是按键等、触摸面板等的操作部件,其用于输入各种操作指示。需要说明的是,例如车辆导航、汽车音响的头单元等的车载机器是信息类子系统220的一个例子。
控制类子系统230是用于控制车辆20的举动的部分,其包括用于各种控制的多个微型计算机231等。例如,ECU(Electronic Control Unit)是微型计算机231的一个例子。
网关设备240是用于将信息类子系统220和控制类子系统230连接的网关(例如,CGW(Central Gateway))。即,在信息类子系统220中处理的通信协议为例如IP协议,在控制类子系统230中被用作与微型计算机231之间的通信的通信协议为专门用于控制的非IP协议(例如,CAN(Controller Area Network))。因此,设有用于吸收这些通信协议的不同的网关设备240。
需要说明的是,图4所示硬件构成仅为一个例子。只要能够实现后述功能,车辆20的硬件构成不特别限定。
图4是示出本发明的实施方式中的车辆20以及监视服务器10的功能构成例的图。在图4中,车辆20的信息类子系统220具有连接信息管理部251、管理功能实施部252、服务功能实施部253、功能实施管理部254、异常判定部255以及日志发送部256等。对于这些各部,安装于信息类子系统220中的一个以上的程序通过使CPU221执行的处理来实现。信息类子系统220另外具有日志DB261以及检测DB262等的数据库(存储部)。这些各数据库(存储部)可以使用例如存储器装置222或辅助存储装置223等来实现。
管理功能实施部252通过经由因特网等访问用于管理车辆20的汽车公司正式服务器30a,从而执行用于进行例如使用平板电脑/智能手机等的远程访问终端的车辆20的远程操作、软件的更新等的处理。
服务功能实施部253以及管理功能实施部252通过外部网络(车辆20外的网络)实现各自的功能。服务功能实施部253是通过经由因特网等且不通过汽车公司正式服务器30a地访问服务提供服务器30b,从而利用服务提供服务器30b所提供的服务的应用程序组。例如,作为该服务的一个例子可以举出动画发布服务等。在该情况下,服务功能实施部253进行动画的下载以及播放等。
虽然不能自服务功能实施部253执行向涉及车辆20的控制的管理功能实施部252的访问,但是服务功能实施部253和管理功能实施部252通过相同的OS(Operating System)实现。因此,假想存在如下威胁,即,进行瞄准服务功能实施部253的应用程序、该OS的脆弱性的攻击,并且通过管理功能实施部252不正当地控制设备。
连接信息管理部251逐次(每次通信)收集外部通信日志以及控制类通信日志(以下,不区别各自的情况下称为“通信日志”。)等的日志数据,通过将收集的日志数据存储于日志DB261,从而对通信日志进行一并管理。
外部通信日志包括IP通信那样的、管理功能实施部252或服务功能实施部253与外部网络的通信日志、基于Wi-Fi(注册商标)、Blutooth(注册商标)连接等的无线通信日志、基于USB等的物理设备的连接的通信日志等。
控制类通信日志是指,在控制类子系统230的微型计算机231之间通过CAN(Controller Area Network)等的协议进行传送、接收的非IP类的通信日志。
例如,通信日志由车辆ID、时间戳(日期时刻信息)、连接源信息(构成车辆20的子系统)、外部连接目标信息(汽车公司正式服务器30a或服务提供服务器30b等的外部服务器、由近距离无线连接的设备、USB等的物理连接的设备)、以及包括执行命令的要求、应答的信息构成。另外,通信日志可以是对通信内容(包括标头信息的通信数据)付与了日期时刻信息(时间戳)的数据。需要说明的是,车辆ID是指车辆20的识别信息。
功能实施管理部254逐次收集系统日志、应用程序日志、传感器日志、错误日志等,并且将收集的日志存储于日志DB261,从而对这些日志进行一并管理。系统日志以及应用程序日志是指与构成信息类子系统220的OS、在OS上动作的应用程序的动作等相关的日志数据。因此,包括由服务功能实施部253、管理功能实施部252执行的、与通信之外的处理相关的信息的日志数据也包括在系统日志或应用程序日志中。传感器日志是指,包括通过车辆20的GPS(Global Positioning System)接收机测定的车辆20的位置信息(纬度、经度)、车辆20的速度、车辆20的加速度等、通过搭载于车辆20的各种传感器测量的值的日志数据。错误日志是指,包括与构成控制类子系统230的微型计算机231输出的错误(异常)相关的信息的日志数据。
需要说明的是,系统日志以及应用程序日志包括例如车辆ID、时间戳、与构成车辆20内的信息类子系统220的OS、应用程序的进程相关的信息、与动作(对生成、删除、变更等的对象的操作)相关的信息、与对象(文件、通信、(子)进程)相关的信息等。另外,传感器日志包括车辆ID、时间戳、以及基于传感器的测量值等。另外,错误日志包括例如车辆ID、时间戳以及错误代码等。
在日志DB261中,上述各种日志以时间顺序存储。
异常判定部255基于在日志DB261中存储的日志数据(外部通信日志、控制类通信日志、系统日志、应用程序日志、传感器日志、错误日志)对车辆20中的异常的发生的有无进行判定。但是,由于车辆20的资源受限,因此异常判定部255在检测到某种异常的发生的情况下,生成表示异常的检测结果的日志(以下,称作“检测日志”。),并且将该检测日志存储于检测DB262。需要说明的是,基于日志数据的异常的有无的判定(计算)可以使用公知技术进行。例如,可以对于输入日志数据并输出异常分数的、完成规定的学习的异常检测学习模型(例如,神经网络),通过输入各日志数据,来判定异常分数。异常分数可以是表示异常的有无的0或1,也可以是将异常的程度在自最小值(例如,“0”)至最大值(例如,“1”)的范围内表示的值。在该情况下,在异常分数超过阈值的情况下,可以判定发生异常。需要说明的是,这样,异常判定部255停止于对某种异常的有无进行判定,不对于异常的原因是网络攻击等的、异常的详细内容进行分析。
日志发送部256将存储于日志DB261或检测DB262中的日志数据发送至监视服务器10。对于日志数据的发送时刻,可以在每次各日志数据存储于日志DB261或检测DB262(即,即时进行)时进行,也可以以规定周期批量进行。另外,检测日志存储于检测DB262时,可以仅发送存储于检测日志和日志DB261的日志数据中的、用于该检测日志的异常的检测的日志数据。
另一方面,监视服务器10具有日志接收部11以及分析部12等。在这些各部中,安装于监视服务器10的一个以上的程序通过使CPU104执行的处理来实现。另外,监视服务器10利用综合日志DB121、故障判定DB122、攻击判定DB123以及误检测判定DB124等的数据库。这些各数据库可以使用例如可以通过网络与辅助存储装置102、或者监视服务器10连接的存储装置等实现。
日志接收部11接收自各车辆20的日志发送部256发送的日志数据,并且将接收的日志数据存储于综合日志DB121。日志数据在综合日志DB121中可以按照车辆ID进行存储。
分析部12进行使存储于综合日志DB121中的日志数据相关的分析,从而对跨多个车辆20的事件的发生进行检测。具体而言,分析部12基于自各车辆20发送的日志数据,对在各车辆20中发生的事件为与事件相关的多个类别(在本实施方式中为故障、网络攻击、异常的误检测、以及其他)中的哪一类进行判定(分类为任一类)。故障的判定结果存储于故障判定DB122。网络攻击的判定结果存储于攻击判定DB123。误检测的判定结果存储于误检测判定DB124。
分析部12进一步基于被分类为相同类别的多个事件所涉及的多个车辆20的各自的日志数据的比较,对跨该多个车辆20的事件的发生进行检测。需要说明的是,监视服务器10具有的计算资源与各车辆20各自具有的计算资源相比充裕(大规模)。因此,通过在监视服务器10中配备分析部12,分析部12可以使用充裕的计算资源来执行处理。
以下,对监视服务器10执行的处理步骤进行说明。图5是用于说明监视服务器10执行的处理步骤的一个例子的流程图。需要说明的是,图5的处理步骤可以对多个车辆20并列执行。
若日志接收部11接收到自某车辆20(以下,称作“对象车辆20”。)的日志发送部256发送(上传)的日志数据组(以下,称作“对象日志组”。)(S101中为Yes),则将对象日志组存储于综合日志DB121(S102)。
接下来,分析部12基于对象日志组中的检测日志的有无,对与对象车辆20相关的异常的有无进行判定(S103)。需要说明的是,在本实施方式中,对仅在通过异常判定部255检测到异常的情况下生成检测日志的例子进行说明,但是异常判定部255在未检测到异常的情况下也生成示出未检测到异常的检测日志的情况下,分析部12可以参照检测日志来对异常的有无进行判定。
对象日志组中不包括检测日志的情况下(或者对象日志组中包括的检测日志示出未检测到异常的情况)(S103中为No),返回步骤S101。对象日志组中包括检测日志的情况下(或者对象日志组中包括的检测日志示出检测到异常的情况)(S103中为Yes),分析部12对对象车辆20的故障的可能性的有无进行判定(S104)。故障的可能性的有无可以根据对象日志组中是否包括错误日志来进行。另外,检测日志与车辆ID是共同的,可以基于包括表示该检测日志的时间戳的日期时刻之前的规定的期间内的日期时刻的时间戳的错误日志是否存储于综合日志DB121中,来对故障的可能性的有无进行判定。即,分析部12在存在符合的错误日志的情况下,判定存在故障的可能性,不存在符合的错误日志的情况下,判定不存在故障的可能性。
若分析部12判定存在故障的可能性(即,若将在对象车辆20发生的事件分类为故障)(S104中为Yes),将则故障的判定结果(以下,称作“故障判定结果”。)存储于故障判定DB122(S105)。在故障判定结果中包括对象车辆20的车辆ID、当前时刻的时间戳、以及对象日志组等。
接下来,分析部12自故障判定DB122检索型号以及年式与对象车辆20相同且在对象车辆20的现在位置的附近(例如,半径Nkm以内等)行驶中的其他的车辆20相关的故障判定结果组(S106)。在本实施方式中,设定各车辆20的型号以及年式包含在车辆ID中。因此,与对象车辆20型号以及年式相同的其他的车辆20的故障判定结果组(以下,称作“故障判定结果组A”。)可以通过将对象车辆20的车辆ID的型号以及年式部分与故障判定DB122中存储的各故障判定结果的车辆ID的型号以及年式部分进行比较来确定。
另外,对象车辆20的现在位置可以基于对象日志组中包括的最新的传感器日志的位置信息来确定。另外,各故障判定结果所涉及的车辆20的位置可以基于在该故障判定结果中包括的最新的传感器日志的位置信息来确定。因此,与型号以及年式与对象车辆20相同且在对象车辆20的现在位置的附近行驶中的其他的车辆20相关的故障判定结果组是故障判定结果组A中的、时间戳与对象车辆20的故障判定结果的时间戳的差在阈值以内且传感器日志所示位置信息的位置与对象车辆20的故障判定结果的传感器日志所示位置信息位置之差在Nkm以内的故障判定结果的集合(以下,称作“故障判定结果组B”。)。
接下来,分析部12对故障判定结果组B中包含的故障判定结果的数量是否为阈值a以上进行判定(S107)。需要说明的是,在步骤S107中,也可以对故障判定结果组A中包含的故障判定结果的数量是否为阈值a以上进行判定。即,可以不考虑与对象车辆20的位置关类。
符合的故障判定结果的数量小于阈值a的情况下(S107中为No),返回步骤S101。该情况下,对象车辆20的故障作为个别事件处理。
符合的故障判定结果的数量为阈值a以上的情况下(S107中为Yes),分析部12将符合的各故障判定结果与对象车辆20的故障判定结果进行比较(S108),对在符合的各故障判定结果之中与对象车辆20的故障判定结果倾向类似的故障判定结果的数量是否为阈值b以上进行判定(S109)。即,对于与多个车辆20相关的故障判定结果,参照多个车辆20的日志进行比较分析。例如,可以将符合的各故障判定结果中包含的各种日志数据与对象车辆20的故障判定结果中包含的各种日志数据进行比较。比较对象的日志数据可以限定为错误日志以及控制类通信日志。是否类似可以使用计算多个参数的类似度的公知的方法来进行。另外,也可以基于在对象车辆20的故障判定结果中包含的系统日志或控制类通信日志、以及比较对象的故障判定结果中包含的系统日志或控制类通信日志这两者中是否观测到通常不发生的异常模式,来对双方的类似性进行评价。
符合的故障判定结果小于阈值b的情况下(S109中为No),返回步骤S101。该情况下,对象车辆20的故障作为个别事件处理。
符合的故障判定结果的数量为阈值b以上的情况下(S109中为Yes),分析部12检测为发生批次单位的故障(S110)。批次单位的故障是指,例如型号以及年式共通的车辆20中的故障。即,检测到跨批次单位的多个车辆20发生相同故障。该情况下,分析部12可以向例如汽车公司正式服务器30a等发送包括对象车辆20的型号以及年式等的、示出批次单位的故障可能性的检测的通知。汽车公司可以基于该通知对该故障的对象的车辆20实施物理部件的更换等。
另外,在步骤S104中,判定不存在故障的可能性的情况下(S104中为No),分析部12对网络攻击的可能性的有无进行判定(S111)。网络攻击的可能性的有无通过例如参照对象日志组中的、外部通信日志来进行。作为一个例子,分析部12对外部通信日志的外部连接目标信息所示的连接目标的恶性度进行分析。恶性度的分析可以通过查询监视服务器10保有的黑名单来进行,也可以将基于不正当的重定向的向恶性网站的连接着眼于HTTP通信的转变,并且通过使用机器学习来检测向恶性Web网站的连接来进行,还可以使用公知的其他的技术来进行。而且,在连接目标的恶性度较高的情况下,分析部12可以基于作为连接源的信息类子系统220的系统日志、应用程序日志等是否符合规定的模式等来对网络攻击的有无进行判定。
若分析部12判定存在网络攻击的可能性(即,若将在对象车辆20发生的事件分类为网络攻击)(S111中为Yes),则将网络攻击的判定结果(以下,称作“攻击判定结果”。)存储于攻击判定DB123(S112)。在攻击判定结果中包含对象车辆20的车辆ID、当前时刻的时间戳、以及对象日志组等。
接下来,分析部12自攻击判定DB123检索与型号以及年式与对象车辆20相同且在对象车辆20的现在位置的附近(例如,半径Nkm以内等)行驶中的其他车辆20相关的攻击判定结果组(S113)。符合的攻击判定结果组的确定方法与步骤S106相同。
在符合的攻击判定结果的数量小于阈值c的情况下(S114中为No),则返回步骤S101。该情况下,对于对象车辆20的网络攻击作为个别的事件处理。
符合的攻击判定结果的数量为阈值c以上的情况下(S114中为Yes),分析部12将符合的各攻击判定结果与对象车辆20的攻击判定结果进行比较(S115),对在符合的各攻击判定结果之中与对象车辆20的攻击判定结果倾向类似的攻击判定结果的数量是否为阈值d以上进行判定(S116)。即,对于与多个车辆20相关的攻击判定结果,参照多个车辆20的日志进行比较分析。例如,可以将在符合的各攻击判定结果中包含的各种日志数据与对象车辆20的攻击判定结果中包含的各种日志数据进行比较。是否类似可以使用计算多个参数的类似度的公知的方法进行。另外,还可以基于对象车辆20的攻击判定结果中包含的系统日志与比较对象的攻击判定结果中包含的系统日志这两者中是否观测到通常不发生的异常模式(例如,与系统内文件构成的搜索、权限升级等相关联的壳指令的执行等)、对象车辆20的攻击判定结果中包含的外部通信日志与比较对象的攻击判定结果中包含的外部通信日志这两者中是否观测到通常不发生的通信的异常模式(例如,incoming等)多发、以及对象车辆20的攻击判定结果中包含的控制类通信日志与比较对象的攻击判定结果中包含的控制类通信日志这两者中是否观测到通常不发生的控制类通信的异常模式(例如,发送时刻、有效载荷值等),从而对攻击判定结果的类似性进行判定。即,在这两者中观测到上述任一异常模式的情况下,可以将该两者判定为类似。
符合的攻击判定结果小于阈值d的情况下(S116中为No),返回步骤S101。该情况下,对象车辆20的攻击作为个别事件处理。
符合的攻击判定结果的数量为阈值d以上的情况下(S116中为Yes),分析部12检测发生大規模的(跨多台车辆20的)网络攻击(S117)。该情况下,分析部12可以向例如汽车公司正式服务器30a等发送包括对象车辆20的攻击判定结果、判定为与该攻击判定结果类似的攻击判定结果、以及示出判定为恶性度较高的连接目标的信息等的、示出大規模网络攻击的可能性的检测的通知。汽车公司正式服务器30a可以根据该通知,切断由该通知中含有的攻击判定结果所涉及的车辆ID确定的各车辆20的外部通信,或者切断向该连接目标的外部通信,从而迅速抑制网络攻击的扩大。
另外,在步骤S111中,在判定不存在网络攻击的可能性的情况下(S111中为No),分析部12对误检测的可能性的有无进行判定(S118)。误检测是指,对象车辆20的异常判定部255的异常判定的错误。误检测的可能性的有无可以通过参照例如对象日志组中的、检测日志以及控制类通信日志来进行。作为一个例子,分析部12可以将自过去判定为误检测的控制类通信日志(即,已经得知为误检测的控制类通信日志)抽出的特征信息与自对象日志组中的控制类通信日志抽出的特征信息进行比较,并且基于是否能够观察到同样的通信间隔的模式、值的转变来对误检测的可能性的有无进行判定。需要说明的是,“过去被判定为误检测”是指,例如在过去通过人工等进行调查的结果明确为误检测。
若分析部12判定存在误检测的可能性(即,若将在对象车辆20发生的事件分类为误检测)(S118中为Yes),则将误检测的判定结果(以下,称作“误检测判定结果”。)存储于误检测判定DB124(S119)。在误检测判定结果中包括对象车辆20的车辆ID、当前时刻的时间戳、以及对象日志组等。
接下来,分析部12自误检测判定DB124与检索型号以及年式与对象车辆20相同且在对象车辆20的现在位置的附近(例如、半径Nkm以内等)行驶中的其他的车辆20相关的误检测判定结果组(S120)。符合的误检测判定结果组的确定方法与步骤S106相同。
符合的误检测判定结果的数量小于阈值e的情况下(S121中为No),返回步骤S101。该情况下,对于对象车辆20的误检测作为个别事件处理。
符合的误检测判定结果的数值为阈值e以上的情况下(S121中为Yes),分析部12对符合的各误检测判定结果与对象车辆20的误检测判定结果进行比较(S122),对在符合的各误检测判定结果之中与对象车辆20的误检测判定结果倾向类似的误检测判定结果的数量是否为阈值f以上进行判定(S123)。即,对于与多个车辆20相关的误检测判定结果,参照多个车辆20的日志进行比较分析。例如,可以对符合的各误检测判定结果中含有的各种日志数据与对象车辆20的误检测判定结果中含有的各种日志数据进行比较。是否类似可以使用计算多个参数的类似度的公知的方法来进行。另外,可以对对象车辆20的误检测判定结果中含有的控制类通信日志所示的控制类通信的模式(例如,通信间隔、通信数据的转变等)与比较对象的误检测判定结果中含有的控制类通信日志所示的控制类通信的模式(例如,通信间隔、通信数据的转变等)进行比较,从而对其类似性进行评价(例如,可以通过公知的方法算出类似度)。控制类通信的模式的类似度为阈值以上的比较对象的误检测判定结果可以判定为与对象车辆20的误检测判定结果倾向类似的误检测判定结果。
符合的误检测判定结果小于阈值f的情况下(S123中为No),返回步骤S101。该情况下,对象车辆20的误检测作为个别事件处理。如此,例如,因电磁波等的影响导致控制类通信产生异常,从而仅在某个区域中发生误检测的情况下,由于符合的误检测判定结果的数量小于阈值f的可能性变高,因此可以避免被判定为异常检测学习模型的不完备。
符合的误检测判定结果的数量为阈值f以上的情况下(S123中为Yes),分析部12检测到对于多个车辆20,异常判定部255利用的异常检测学习模型存在不完备(S124)。该情况下,分析部12可以向例如汽车公司正式服务器30a等发送包括对象车辆20的误检测判定结果以及判定为与该误检测判定结果类似的误检测判定结果等的、示出异常检测学习模型的不完备的可能性的检测的通知。根据该通知,汽车公司正式服务器30a可以进行各车辆20的异常检测学习模型的升级、作为管理功能实施部252使CPU221发挥功能的程序的升级等。
需要说明的是,在本实施方式中,将车辆20作为设备的一个例子进行了说明,但是对于具有通信功能的其他的设备也可以适用本实施方式。例如,对于工程中的机器人等的产业用控制设备、配置于各地的传感器、音频设备、家电制品、通信终端(智能手机、平板电脑终端等)、以及一般被称作IoT(Internet of Things)设备的设备,可以适用本实施方式。
如上所述,根据本实施方式,基于来自多个设备(车辆20)的日志数据,确定发生具有相似倾向的事件的设备,并且通过对确定的多个日志数据进行比较分析,从而可以对作为即使详细分析一台设备也不会知道的事件的广范围实施的网络攻击、异常检测学习模型的不完备、以及以制造批次单位发生的故障等进行检测。即,可以使对跨多个设备发生的事件的发生进行检测成为可能。
需要说明的是,在本实施方式中,监视服务器10是分析装置的一个例子。日志接收部11是接收部的一个例子。分析部12是判定部以及检测部的一个例子。
以上,对本发明的实施方式进行了详述,但是本发明不限定于特定的实施方式,在权利要求书中记载的本发明的主旨的范围内,可以进行各种变形、变更。
本申请基于2018年10月11日申请的日本国专利申请第2018-192412号,要求其优先权,并且通过参照该日本国专利申请的全部内容而在本申请中引用。
附图标记说明
10 监视服务器
11 日志接收部
12 分析部
20 车辆
30a 汽车公司正式服务器
30b 服务提供服务器
100 驱动装置
101 存储介质
102 辅助存储装置
103 存储器装置
104 CPU
105 接口装置
121 综合日志DB
122 故障判定DB
123 攻击判定DB
124 误检测判定DB
210 通信装置
221 CPU
222 存储器装置
223 辅助存储装置
224 显示装置
225 输入装置
220 信息类子系统
230 控制类子系统
231 微型计算机
240 网关设备
251 连接信息管理部
252 管理功能实施部
253 服务功能实施部
254 功能实施管理部
255 异常判定部
256 日志发送部
261 日志DB
262 检测DB
B 总线

Claims (8)

1.一种分析装置,具有:
接收部,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;
判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及
检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测。
2.根据权利要求1所述的分析装置,其中,
上述判定部基于在上述设备中检测到异常时的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定。
3.根据权利要求2所述的分析装置,其中,
上述判定部对在上述设备中发生的事件是否为上述异常的误检测进行判定。
4.根据权利要求1至3中任一项所述的分析装置,其中,
上述判定部对在上述设备中发生的上述设备的事件是否为故障进行判定。
5.根据权利要求1至4中任一项所述的分析装置,其中,
上述判定部对在上述设备中发生的事件是否为网络攻击进行判定。
6.一种分析系统,其包括多个设备、以及通过网络与上述多个设备连接的分析装置,
上述分析装置具有:
接收部,其通过上述网络接收上述多个设备各自发送的日志数据;
判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及
检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测,
上述设备具有:
连接信息管理部,其对在该设备中发生的与外部通信相关的日志数据以及与控制类通信相关的日志数据进行一并管理;
功能实施管理部,其对与该设备内的应用程序以及OS的动作相关的日志数据进行一并管理;
异常判定部,其不进行对在该设备中发生的事件的类别的判定,而是基于上述日志数据对包括上述多个类别的异常进行检测;以及
日志发送部,其将上述日志数据发送至上述分析装置。
7.一种分析方法,其通过计算机执行以下步骤:
接收步骤,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;
判定步骤,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及
检测步骤,其基于上述判定步骤的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测。
8.一种程序,其作为权利要求1至5中任一项所述的各部而使计算机发挥功能。
CN201980062049.0A 2018-10-11 2019-10-10 分析装置、分析系统、分析方法以及程序 Pending CN112740185A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018-192412 2018-10-11
JP2018192412 2018-10-11
PCT/JP2019/040009 WO2020075800A1 (ja) 2018-10-11 2019-10-10 分析装置、分析システム、分析方法及びプログラム

Publications (1)

Publication Number Publication Date
CN112740185A true CN112740185A (zh) 2021-04-30

Family

ID=70164566

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980062049.0A Pending CN112740185A (zh) 2018-10-11 2019-10-10 分析装置、分析系统、分析方法以及程序

Country Status (5)

Country Link
US (1) US20210306361A1 (zh)
EP (1) EP3805928A4 (zh)
JP (1) JP7056752B2 (zh)
CN (1) CN112740185A (zh)
WO (1) WO2020075800A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7269955B2 (ja) * 2018-11-30 2023-05-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両ログ送信装置、車両ログ解析サーバおよび車両ログ解析システム
JP7241281B2 (ja) * 2019-12-05 2023-03-17 パナソニックIpマネジメント株式会社 情報処理装置、制御方法及びプログラム
US20210406112A1 (en) * 2020-06-29 2021-12-30 International Business Machines Corporation Anomaly classification in information technology environments
US11762442B1 (en) * 2020-07-31 2023-09-19 Splunk Inc. Real-time machine learning at an edge of a distributed network
US11995562B2 (en) 2020-12-03 2024-05-28 International Business Machines Corporation Integrating documentation knowledge with log mining for system diagnosis
US11474892B2 (en) 2020-12-03 2022-10-18 International Business Machines Corporation Graph-based log sequence anomaly detection and problem diagnosis
US11513930B2 (en) * 2020-12-03 2022-11-29 International Business Machines Corporation Log-based status modeling and problem diagnosis for distributed applications
US11403326B2 (en) 2020-12-03 2022-08-02 International Business Machines Corporation Message-based event grouping for a computing operation
US11599404B2 (en) 2020-12-03 2023-03-07 International Business Machines Corporation Correlation-based multi-source problem diagnosis
US11797538B2 (en) 2020-12-03 2023-10-24 International Business Machines Corporation Message correlation extraction for mainframe operation
WO2024018684A1 (ja) * 2022-07-19 2024-01-25 日立Astemo株式会社 状態判定装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300769A1 (en) * 2008-05-28 2009-12-03 Intellectual Ventures Asia Pte. Ltd. Detecting global anomalies
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
CN106537872A (zh) * 2014-07-18 2017-03-22 德国电信股份有限公司 用于检测计算机网络中的攻击的方法
CN107925600A (zh) * 2015-12-16 2018-04-17 松下电器(美国)知识产权公司 安全处理方法以及服务器

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3556458B2 (ja) * 1998-02-24 2004-08-18 株式会社東芝 データ分析通信装置、データ分析通信方法及びデータ分析通信プログラムを記録した媒体
US10951637B2 (en) * 2014-08-28 2021-03-16 Suse Llc Distributed detection of malicious cloud actors
JP6701030B2 (ja) * 2016-08-25 2020-05-27 クラリオン株式会社 車載装置、ログ収集システム
JP6925715B2 (ja) 2017-05-16 2021-08-25 株式会社ディスコ 加工装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300769A1 (en) * 2008-05-28 2009-12-03 Intellectual Ventures Asia Pte. Ltd. Detecting global anomalies
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
CN106537872A (zh) * 2014-07-18 2017-03-22 德国电信股份有限公司 用于检测计算机网络中的攻击的方法
CN107925600A (zh) * 2015-12-16 2018-04-17 松下电器(美国)知识产权公司 安全处理方法以及服务器

Also Published As

Publication number Publication date
EP3805928A1 (en) 2021-04-14
EP3805928A4 (en) 2022-03-16
JP7056752B2 (ja) 2022-04-19
US20210306361A1 (en) 2021-09-30
WO2020075800A1 (ja) 2020-04-16
JPWO2020075800A1 (ja) 2021-09-02

Similar Documents

Publication Publication Date Title
CN112740185A (zh) 分析装置、分析系统、分析方法以及程序
EP4106298B1 (en) Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method
US11380197B2 (en) Data analysis apparatus
EP3621246B1 (en) Security processing method and server
CN106462702B (zh) 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统
US11528325B2 (en) Prioritizing data using rules for transmission over network
US11962605B2 (en) Information processing apparatus, data analysis method and program
US11178164B2 (en) Data analysis apparatus
US11863574B2 (en) Information processing apparatus, anomaly analysis method and program
EP3842974A1 (en) Information processing device, information processing method, and program
US11971982B2 (en) Log analysis device
KR102621707B1 (ko) 차량 데이터 수집 진단 장치 및 방법, 그리고 차량 시스템
EP3848806A1 (en) Information processing device, log analysis method, and program
EP4250151A1 (en) Attack analysis device, attack analysis method, and program
JPWO2022107378A5 (zh)
JP2022055558A (ja) 情報送信装置、サーバ、及び、情報送信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination