CN116670696A - 日志生成装置、日志生成方法和日志生成程序 - Google Patents
日志生成装置、日志生成方法和日志生成程序 Download PDFInfo
- Publication number
- CN116670696A CN116670696A CN202180086612.5A CN202180086612A CN116670696A CN 116670696 A CN116670696 A CN 116670696A CN 202180086612 A CN202180086612 A CN 202180086612A CN 116670696 A CN116670696 A CN 116670696A
- Authority
- CN
- China
- Prior art keywords
- log
- target
- user
- specific operation
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
日志生成装置(100)具有目标搜索部(111)、用户搜索部(112)和特定操作日志生成部。目标搜索部(111)使用实际操作了对象系统具有的目标的日志即对象操作日志,从对象系统具有的目标中搜索对象目标。用户搜索部(112)使用对象操作日志,从对象系统的用户中搜索能够操作对象目标的用户作为对象用户。特定操作日志生成部接受表示在对象系统中由特定的用户执行的特定操作的特定操作信息,使用特定操作信息和对象操作日志,生成表示对象用户对对象目标执行的特定操作的虚拟日志即特定操作日志。
Description
技术领域
本发明涉及日志生成装置、日志生成方法和日志生成程序。
背景技术
在系统中,存在利用机器学习来检测基于内部犯罪的攻击的攻击检测技术。在该攻击检测技术中,需要使用基于内部犯罪的攻击数据来进行学习,但是,多数情况下无法取得足够量的基于内部犯罪的攻击数据。
现有技术文献
非专利文献
非专利文献1:Glasser,J.,Lindauer,B.,“Bridging the Gap:A PragmaticApproach to Generating Insider Threat Data”,IEEE Security and PrivacyWorkshops,2013
发明内容
发明要解决的课题
非专利文献1公开有生成基于内部犯罪的攻击数据的技术。但是,根据该技术,生成模拟环境中的攻击数据,因此,存在有时生成在实际环境中在现实上不可能发生的操作日志这样的课题。
本发明的目的在于,生成在实际环境中在现实上可能发生的恶意日志。
用于解决课题的手段
本发明的日志生成装置是具有目标的对象系统中的日志生成装置,其中,所述日志生成装置具有:目标搜索部,其使用实际操作了所述对象系统具有的目标的日志即对象操作日志,从所述对象系统具有的目标中搜索对象目标;用户搜索部,其使用所述对象操作日志,从所述对象系统的用户中搜索能够操作所述对象目标的用户作为对象用户;以及特定操作日志生成部,其接受表示在所述对象系统中由特定的用户执行的特定操作的特定操作信息,使用所述特定操作信息和所述对象操作日志,生成表示所述对象用户对所述对象目标执行的特定操作的虚拟日志即特定操作日志。
发明效果
本发明的特定操作日志根据实际操作了对象系统具有的目标的日志即对象操作日志生成特定操作日志。这里,特定操作日志可以是恶意日志。因此,根据本发明,能够生成在实际环境中在现实上可能发生的恶意日志。
附图说明
图1是实施方式1的日志生成装置100的结构例。
图2是实施方式1的日志生成装置100的硬件结构例。
图3是说明内部非法的图。
图4是示出实施方式1的日志生成装置100的动作的流程图。
图5是示出实施方式1的目标搜索部111的动作的流程图。
图6是示出实施方式1的用户搜索部112的动作的流程图。
图7是示出实施方式1的时间段搜索部113的动作的流程图。
图8是示出实施方式1的恶意日志生成部121的动作的流程图。
图9是示出实施方式1的周边日志生成部122的动作的流程图。
图10是示出实施方式1的日志嵌入部123的动作的流程图。
图11是实施方式1的操作日志300和虚拟非法日志400的具体例。
图12是实施方式1的变形例的日志生成装置100的硬件结构例。
具体实施方式
在实施方式的说明和附图中,对相同的要素和对应的要素标注相同标号。被标注了相同标号的要素的说明适当省略或简化。图中的箭头主要表示数据流或处理流。此外,也可以将“部”适当改写成“电路”、“工序”、“步骤”、“处理”或“线路”。
实施方式1
下面,参照附图对本实施方式进行详细说明。
***结构的说明***
图1示出本实施方式的日志生成装置100的结构例。如本图所示,日志生成装置100具有日志分析部110和日志生成部120,存储目标条件信息200、用户属性信息210和恶意操作信息220。日志生成装置100可以在顾客的系统中使用。将使用日志生成装置100的系统称作对象系统。对象系统具有目标。
操作日志300是表示对象系统的用户实际操作了对象系统具有的目标的历史的日志的至少一部分,也被称作对象操作日志或顾客日志。
日志分析部110具有目标搜索部111、用户搜索部112和时间段搜索部113。
目标搜索部111从对象系统具有的目标中搜索虚拟地执行内部非法的目标作为对象目标。目标只要是能够通过操作日志300来监视用户对目标的操作的资产即可,可以是任意的。作为具体例,目标是电子文件或电子设备。另外,有时将电子文件仅表记为文件。目标搜索部111也可以根据对象系统具有的各目标的机密度搜索对象目标。
内部非法是用户对对象系统具有的目标执行的恶意操作,是恶意日志310所示的处理。只要没有特别说明,则用户是指使用对象系统中登记的账户等利用对象系统的利用者。作为具体例,具有对象系统的账户的组织内部的人在对该人赋予的权限的范围内阅览文件,在该权限的范围内将文件输出到USB存储器,将该USB存储器拿到组织外,有时这符合内部非法。此外,具有对象系统的账户的组织内部的人在对该人赋予的权限的范围内阅览电子设备的设定文件,在该权限的范围内编辑该设定文件,由此引起电子设备的故障,有时这也符合内部非法。另外,外部犯罪盗取对象系统中的合法用户的账户,使用盗取的账户从外部侵入对象系统,在该账户的权限的范围内从对象系统中寻找机密信息,将寻找到的机密信息发送到外部,这样的处理也为内部非法的对象。此外,考虑如下情况:外部犯罪将附加有包含恶意软件的文件的标的型邮件发送到对象系统中的合法用户的PC(PersonalComputer:个人计算机),合法用户打开该标的型邮件中附加的文件,由此,合法用户的PC感染了恶意软件。该情况下,外部犯罪控制合法用户的PC,在合法用户的账户的权限的范围内从对象系统中寻找机密信息,将寻找到的机密信息发送到外部,这样的处理也为内部非法的对象。恶意日志310是表示对象用户对对象目标执行的恶意操作的虚拟日志,是能够成为操作日志300的一部分的日志。恶意操作是具有恶意的用户对系统执行的正常操作。正常操作是对象用户对对象系统执行的通常操作。在某个操作是正常操作的情况下,作为具体例,对象系统在对象用户执行了该某个操作时,不将该某个操作判断为异常操作。这里,也可以通过用户的操作和用户的操作对象的组合来判断是否是正常操作。作为具体例,在操作对象是文件的情况下,也可以根据文件的机密性、针对文件的访问频度、对文件频繁进行的操作内容中的至少任意一方以及用户对文件的操作的组合来判断是否是正常操作。
另外,日志生成装置100也可以在发电厂的工厂等中使用。此时,作为具体例,目标搜索部111将机密度高的电子设备设为对象目标。
用户搜索部112使用对象操作日志,从对象系统的用户中搜索能够操作对象目标的用户作为对象用户。用户搜索部112也可以使用表示对象系统的各用户的属性的用户属性信息搜索对象用户。
时间段搜索部113搜索执行恶意日志310所示的处理的时间段。时间段搜索部113也可以使用对象操作日志,搜索执行了特定操作日志所示的操作的时间段作为对象时间段。
日志生成部120具有恶意日志生成部121、周边日志生成部122和日志嵌入部123。
恶意日志生成部121根据恶意操作信息220生成恶意日志310。恶意日志生成部121也被称作特定操作日志生成部。恶意日志生成部121接受表示在对象系统中由特定的用户执行的特定操作的特定操作信息,使用特定操作信息和对象操作日志,生成表示对象用户对对象目标执行的特定操作的虚拟日志即特定操作日志。执行恶意操作的用户也是特定的用户。恶意操作也是特定操作。恶意日志310也是特定操作日志。恶意日志生成部121也可以设为在对象时间段执行了特定操作日志所示的操作。
周边日志生成部122生成周边日志320。周边日志320是与恶意日志310相同的日志,是表示周边操作的虚拟日志。周边操作是在执行恶意日志310所示的操作的时间段周边的时间段在存储有对象目标的场所周边执行的正常操作,是并非恶意操作的操作,是并非特定操作的操作。周边日志320也可以是进行辅助以使恶意日志310成为在现实上可能发生的日志的日志。
日志嵌入部123在操作日志300中嵌入恶意日志310和周边日志320,由此生成虚拟非法日志400。虚拟非法日志400是包含基于内部犯罪的攻击日志的虚拟日志。
日志嵌入部123也可以将特定操作日志嵌入到对象操作日志中。日志嵌入部123也可以不在操作日志300中嵌入周边日志320。
目标条件信息200是在目标搜索部111缩小目标的范围时使用的条件。作为具体例,在目标是电子设备的情况下,目标条件信息200是放置电子设备的场所或电子设备的用途,在目标是电子文件的情况下,目标条件信息200是存储有电子文件的文件夹或电子文件的名称中使用的机密关联字。
用户属性信息210和表示各用户的属性的信息。属性是对各用户进行分类的信息,作为具体例,是所属公司、所属部门、职务和工作年数的组合。作为具体例,职务是董事、部长或课长。
恶意操作信息220表示恶意操作的一览。在目标是电子文件的情况下,作为具体例,恶意操作信息220包含分别表示USB(Universal Serial Bus:通用串行总线)输出、互联网发送、本地保存和打印的信息。
图2示出本实施方式的日志生成装置100的硬件结构例。日志生成装置100由计算机构成。日志生成装置100也可以由多个计算机构成。
如本图所示,计算机是具有处理器11、存储器12、辅助存储装置13、输入输出IF(Interface:接口)14和通信装置15等硬件的计算机。这些硬件经由信号线19彼此连接。
处理器11是进行运算处理的IC(Integrated Circuit:集成电路),并且对计算机具有的硬件进行控制。作为具体例,处理器11是CPU(Central Processing Unit:中央处理单元)、DSP(Digital Signal Processor:数字信号处理器)或GPU(Graphics ProcessingUnit:图形处理单元)。
日志生成装置100也可以具有代替处理器11的多个处理器。多个处理器分担处理器11的作用。
典型地讲,存储器12是易失性存储装置。存储器12也被称作主存储装置或主存储器。作为具体例,存储器12是RAM(Random Access Memory:随机存取存储器)。存储器12中存储的数据根据需要被保存于辅助存储装置13。
典型地讲,辅助存储装置13是非易失性存储装置。作为具体例,辅助存储装置13是ROM(Read Only Memory:只读存储器)、HDD(Hard Disk Drive:硬盘驱动器)或闪存。辅助存储装置13中存储的数据根据需要被载入到存储器12。
存储器12和辅助存储装置13也可以一体地构成。
输入输出IF14是连接输入装置和输出装置的端口。作为具体例,输入输出IF14是USB端子。作为具体例,输入装置是键盘和鼠标。作为具体例,输出装置是显示器。
通信装置15是接收机和发送机。作为具体例,通信装置15是通信芯片或NIC(Network Interface Card:网络接口卡)。
日志生成装置100的各部在与其他装置等进行通信时,也可以适当使用通信装置15。日志生成装置100的各部可以经由输入输出IF14受理数据,此外,也可以经由通信装置15受理数据。
辅助存储装置13存储有日志生成程序。日志生成程序是使计算机实现日志生成装置100具有的各部的功能的程序。日志生成程序被载入到存储器12,由处理器11来执行。日志生成装置100具有的各部的功能通过软件实现。
在执行日志生成程序时使用的数据和通过执行日志生成程序而得到的数据等适当存储于存储装置。日志生成装置100的各部适当利用存储装置。作为具体例,存储装置由存储器12、辅助存储装置13、处理器11内的寄存器和处理器11内的高速缓冲存储器中的至少一方构成。另外,数据和信息有时具有相同的意思。存储装置也可以独立于计算机。存储装置存储目标条件信息200、用户属性信息210、恶意操作信息220和操作日志300。目标条件信息200、用户属性信息210、恶意操作信息220和操作日志300分别可以被数据库化。
存储器12和辅助存储装置13的功能也可以通过其他存储装置实现。
日志生成程序也可以记录于计算机能读取的非易失性记录介质。作为具体例,非易失性记录介质是光盘或闪存。日志生成程序也可以作为程序产品来提供。
***动作的说明***
日志生成装置100的动作步骤相当于日志生成方法。此外,实现日志生成装置100的动作的程序相当于日志生成程序。下面,对目标是电子文件的情况下的日志生成装置100的动作进行说明。
图3是示意性地说明内部非法的图。在本图中,文件服务器存储文件,文件被适当地分类。“与新产品项目相关联的文件组”是表示与新产品项目相关联的信息的一组文件,设属于“与新产品项目相关联的文件组”的文件的机密度高。“无USB输出”表示属于“与新产品项目相关联的文件组”的文件中的、至少在操作日志300所示的时间范围内未曾输出到USB存储器的文件。日志生成装置100也可以使用操作日志300确认文件是否符合“无USB输出”。作为具体例,属于“无USB输出”的文件用于再现将一般不进行USB输出的机密文件输出到USB文件的内部非法、以及一般不访问该机密文件的用户访问该机密文件并向USB存储器输出该机密文件的内部非法中的至少任意一方。合法用户是不执行恶意操作的用户。内部犯罪是执行恶意操作的用户。内部犯罪也可以执行正常操作。日志生成装置100将某个用户虚拟地视为内部犯罪,由此发生内部非法。内部犯罪相当于对象用户。日志生成装置100再现在访问权限的范围内进行的内部非法。
本图示出如下状况:虽然文件DOC2是一般不会输出到USB存储器的机密文件,但是,内部犯罪执行将文件DOC2输出到USB存储器这样的内部非法。
图4是示出日志生成装置100的动作的一例的流程图。参照本图对日志生成装置100的动作进行说明。
(步骤S101:文件搜索处理)
目标搜索部111根据操作日志300,决定执行内部非法的对象即文件作为对象文件。
(步骤S102:用户搜索处理)
用户搜索部112根据操作日志300,决定进行内部非法的用户作为对象用户。
(步骤S103:时间段搜索处理)
时间段搜索部113根据操作日志300,决定对象用户执行内部非法的时间段作为对象时间段。
(步骤S104:操作决定处理)
恶意日志生成部121根据恶意操作信息220,决定针对对象文件的恶意操作作为对象恶意操作。
(步骤S105:恶意日志生成处理)
恶意日志生成部121生成表示对象用户在对象时间段对对象文件执行了对象恶意操作的恶意日志310。
(步骤S106:周边日志生成处理)
周边日志生成部122生成表示对象用户在对象文件的周边在对象时间段周边的时间段执行了操作的周边日志320。
(步骤S107:日志嵌入处理)
日志嵌入部123对操作日志300嵌入恶意日志310和对象周边日志320作为对象用户在对象时间段和对象时间段的周边执行的操作,由此生成虚拟非法日志400。
图5是示出目标搜索部111的动作的一例的流程图。参照本图对目标搜索部111的动作进行说明。
(步骤S111:文件分类处理)
目标搜索部111根据操作日志300,通过针对文件的访问倾向将对象系统具有的文件分类至范畴,决定设为对象的范畴作为对象范畴。作为具体例,范畴包含“谁都不访问的文件”、“谁都不编辑的文件”、“仅规定的用户或属于规定组的用户进行读取访问的文件”、“仅规定的用户或属于规定组的用户进行编辑的文件”、“仅特定的用户进行读取访问的文件”和“仅特定的用户进行编辑的文件”。
可认为多人访问或编辑的文件的机密度低。因此,目标搜索部111选择限定了进行访问的用户的范畴作为对象范畴。
(步骤S112:操作范围缩小处理)
目标搜索部111将属于对象范畴的文件的范围缩小到未被执行规定的恶意操作的文件。目标搜索部111也可以参照恶意操作信息220来决定规定的恶意操作。规定的恶意操作也可以根据用户的属性或文件的性质等而不同。作为具体例,也可以是,董事A本地保存文件F1不是规定的恶意操作,但是,课长B本地保存文件F1是规定的恶意操作。此外,也可以是,打印文件F1不是规定的恶意操作,但是,打印文件F2是规定的恶意操作。
(步骤S113:对象文件提取处理)
目标搜索部111从通过之前的步骤的处理而缩小范围的文件中,提取在文件名中包含规定字的文件、或存储有在目录名中包含规定字的目录的文件等作为对象文件。作为具体例,该文件名或该目录名包含“公司外部保密”、“保密”、“极为保密”、“发电厂”、“新产品项目”、“企划书”、“规格书”中的至少任意一个用语。
目标搜索部111也可以提取多个文件。此外,目标搜索部111也可以不提取文件,而提取由在一定的期间内访问的一连串文件构成的文件集合。在目标搜索部111提取了文件集合的情况下,在以后的处理中,日志生成装置100不以文件为单位来执行处理,而以文件集合为单位来执行处理。
图6是示出用户搜索部112的动作的一例的流程图。参照本图对用户搜索部112的动作进行说明。
(步骤S121:用户分类处理)
用户搜索部112根据操作日志300中的针对对象文件的访问倾向将各用户分类至范畴,决定设为对象的范畴作为对象范畴。作为具体例,范畴包含“完全不读取访问对象文件的用户”、“仅读取访问对象文件的用户”、“对对象文件进行编辑的用户”。
(步骤S122:用户属性范围缩小处理)
用户搜索部112使用用户属性信息210,将属于对象范畴的用户的范围缩小到可能成为对象用户的用户。作为具体例,用户搜索部112将范围缩小到职务较低的用户、或工作年数较短的用户。用户属性信息210也可以将范围缩小到用户属性包含的多个信息的组合满足一定条件的用户。
(步骤S123:对象用户提取处理)
用户搜索部112从通过之前的步骤的处理而缩小范围的用户中,将范围缩小到具有访问放置有对象文件的目录的权限的用户、或访问过该目录的用户等,从缩小范围的用户中提取对象用户。用户搜索部112也可以提取多个用户作为对象用户。
图7是示出时间段搜索部113的动作的一例的流程图。参照本图对时间段搜索部113的动作进行说明。
(步骤S131:时间段确定处理)
时间段搜索部113根据操作日志300,确定对象用户访问文件的情况多的时间段作为特定时间段。这里,该文件也可以不限于对象文件。
(步骤S132:时间段排除处理)
时间段搜索部113根据操作日志300,将对象用户操作除了具有对象文件的目录和该目录周边的目录以外的目录的情况较多的时间段从特定时间段中排除。时间段搜索部113将在本步骤中未排除的时间段设为已排除时间段。
(步骤S133:对象时间段提取处理)
时间段搜索部113根据操作日志300确定对象用户的文件访问的时间间隔,根据确定的时间间隔从已排除时间段中提取对象时间段。时间间隔也可以具有上限和下限。作为具体例,时间段搜索部113根据在一定期间内由对象用户打开的文件的种类或文件的数量、或者进行编辑的文件的种类或文件的数量等求出时间间隔。
作为具体例,时间段搜索部113将从对象用户访问某个文件的时间起经过了时间间隔后的时间设为对象时间段。
图8是示出恶意日志生成部121的动作的一例的流程图。参照本图对恶意日志生成部121的动作进行说明。
(步骤S141:恶意操作决定处理)
恶意日志生成部121参照恶意操作信息220,决定对象用户对对象文件执行的恶意操作作为对象恶意操作。恶意日志生成部121也可以参照操作日志300,缩小在对象时间段内在现实上可能发生的恶意操作的范围,从缩小范围后的恶意操作中决定对象恶意操作。
(步骤S142:日志生成处理)
恶意日志生成部121生成表示该用户在该时间段内对对象文件执行了对象恶意操作的恶意日志310。作为具体例,恶意日志310包含表示时间戳、对象文件的名称、对象用户的名称、对象恶意操作的信息。
图9是示出周边日志生成部122的动作的一例的流程图。参照本图对周边日志生成部122的动作进行说明。
(步骤S151:文件选择处理)
周边日志生成部122从放置对象文件的目录内的除了对象文件以外的文件和该目录周边的目录包含的文件中选择任意数量的文件。
(步骤S152:周边操作决定处理)
周边日志生成部122决定针对该周边文件的正常操作作为对象正常操作。对象正常操作是并非恶意操作的操作。周边日志生成部122也可以适当参照操作日志300和恶意操作信息220中的至少任意一方来决定对象周边操作。
(步骤S153:日志生成处理)
周边日志生成部122生成表示对象用户在恶意日志310的时间段前后执行了对象周边操作的周边日志320。
图10是示出日志嵌入部123的动作的一例的流程图。参照本图对日志嵌入部123的动作进行说明。
(步骤S161:恶意日志嵌入处理)
日志嵌入部123以在对象时间段执行了恶意日志310所示的操作的方式将恶意日志310嵌入到操作日志300中。
(步骤S162:周边日志嵌入处理)
日志嵌入部123适当地将周边日志320嵌入到操作日志300中,生成虚拟非法日志400。
图11示出操作日志300和与操作日志300对应的虚拟非法日志400的具体例。在本例中,日志生成装置100在操作日志300中嵌入表示用户A对文件B进行编辑的操作的日志作为周边日志320,在操作日志300中嵌入表示用户A将文件B输出到USB存储器的操作的日志作为恶意日志310。
***实施方式1的效果的说明***
如上所述,根据本实施方式,能够自动地生成与顾客的环境对应的虚拟的内部犯罪日志。
***其他结构***
<变形例1>
恶意日志生成部121也可以变更操作日志300的一部分,由此生成恶意日志310。
周边日志生成部122也可以变更操作日志300的一部分,由此生成周边日志320。
<变形例2>
图12示出本变形例的日志生成装置100的硬件结构例。
如本图所示,日志生成装置100代替处理器11、存储器12和辅助存储装置13中的至少一方而具有处理电路18。
处理电路18是实现日志生成装置100具有的各部的至少一部分的硬件。
处理电路18可以是专用的硬件,此外,也可以是执行存储器12中存储的程序的处理器。
在处理电路18是专用的硬件的情况下,作为具体例,处理电路18是单一电路、复合电路、程序化的处理器、并行程序化的处理器、ASIC(ASIC为Application SpecificIntegrated Circuit:专用集成电路)、FPGA(Field Programmable Gate Array:现场可编程门阵列)或它们的组合。
日志生成装置100也可以具有代替处理电路18的多个处理电路。多个处理电路分担处理电路18的作用。
在日志生成装置100中,也可以是,一部分功能通过专用的硬件实现,其余的功能通过软件或固件实现。
作为具体例,处理电路18通过硬件、软件、固件或它们的组合来实现。
将处理器11、存储器12、辅助存储装置13和处理电路18统称作“处理线路”。即,日志生成装置100的各功能结构要素的功能通过处理线路实现。
***其他实施方式***
说明了实施方式1,但是,也可以组合实施本实施方式中的多个部分。或者,也可以部分地实施本实施方式。除此之外,本实施方式可以根据需要进行各种变更,也可以整体或部分地任意组合实施。
另外,上述的实施方式是本质上优选的例示,并不意图限制本发明、其应用物和用途的范围。使用流程图等说明的步骤也可以适当变更。
标号说明
11:处理器;12:存储器;13:辅助存储装置;14:输入输出IF;15:通信装置;18:处理电路;19:信号线;100:日志生成装置;110:日志分析部;111:目标搜索部;112:用户搜索部;113:时间段搜索部;120:日志生成部;121:恶意日志生成部;122:周边日志生成部;123:日志嵌入部;200:目标条件信息;210:用户属性信息;220:恶意操作信息;300:操作日志;310:恶意日志;320:周边日志;400:虚拟非法日志。
Claims (10)
1.一种日志生成装置,所述日志生成装置是具有目标的对象系统中的日志生成装置,其中,所述日志生成装置具有:
目标搜索部,其使用实际操作了所述对象系统具有的目标的日志即对象操作日志,从所述对象系统具有的目标中搜索对象目标;
用户搜索部,其使用所述对象操作日志,从所述对象系统的用户中搜索能够操作所述对象目标的用户作为对象用户;以及
特定操作日志生成部,其接受表示在所述对象系统中由特定的用户执行的特定操作的特定操作信息,使用所述特定操作信息和所述对象操作日志,生成表示所述对象用户对所述对象目标执行的特定操作的虚拟日志即特定操作日志。
2.根据权利要求1所述的日志生成装置,其中,
所述日志生成装置还具有时间段搜索部,该时间段搜索部使用所述对象操作日志,搜索执行了所述特定操作日志所示的操作的时间段作为对象时间段,
在所述特定操作日志生成部中,设为在所述对象时间段执行了所述特定操作日志所示的操作。
3.根据权利要求2所述的日志生成装置,其中,
所述日志生成装置还具有日志嵌入部,该日志嵌入部将所述特定操作日志嵌入到所述对象操作日志中。
4.根据权利要求3所述的日志生成装置,其中,
所述日志生成装置还具有生成周边日志的周边日志生成部,该周边日志是表示并非所述特定操作的操作即周边操作的虚拟日志,该周边操作是在所述对象时间段周边的时间段在存储有所述对象目标的场所周边由所述对象用户执行的操作,
所述日志嵌入部将所述周边日志嵌入到所述对象操作日志中。
5.根据权利要求1~4中的任意一项所述的日志生成装置,其中,
所述目标搜索部根据所述对象系统具有的各目标的机密度搜索所述对象目标。
6.根据权利要求1~5中的任意一项所述的日志生成装置,其中,
所述用户搜索部使用表示所述对象系统的各用户的属性的用户属性信息搜索所述对象用户。
7.根据权利要求1~6中的任意一项所述的日志生成装置,其中,
所述目标是电子文件。
8.根据权利要求1~6中的任意一项所述的日志生成装置,其中,
所述目标是电子设备。
9.一种日志生成方法,所述日志生成方法是具有目标的对象系统中的日志生成方法,其中,
目标搜索部使用实际操作了所述对象系统具有的目标的日志即对象操作日志,从所述对象系统具有的目标中搜索对象目标,
用户搜索部使用所述对象操作日志,从所述对象系统的用户中搜索能够操作所述对象目标的用户作为对象用户,
特定操作日志生成部接受表示在所述对象系统中由特定的用户执行的特定操作的特定操作信息,使用所述特定操作信息和所述对象操作日志,生成表示所述对象用户对所述对象目标执行的特定操作的虚拟日志即特定操作日志。
10.一种日志生成程序,所述日志生成程序是具有目标的对象系统中的日志生成程序,其中,所述日志生成程序使作为计算机的日志生成装置执行以下处理:
目标搜索处理,使用实际操作了所述对象系统具有的目标的日志即对象操作日志,从所述对象系统具有的目标中搜索对象目标;
用户搜索处理,使用所述对象操作日志,从所述对象系统的用户中搜索能够操作所述对象目标的用户作为对象用户;以及
特定操作日志生成处理,接受表示在所述对象系统中由特定的用户执行的特定操作的特定操作信息,使用所述特定操作信息和所述对象操作日志,生成表示所述对象用户对所述对象目标执行的特定操作的虚拟日志即特定操作日志。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/000313 WO2022149233A1 (ja) | 2021-01-07 | 2021-01-07 | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116670696A true CN116670696A (zh) | 2023-08-29 |
Family
ID=82358093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180086612.5A Pending CN116670696A (zh) | 2021-01-07 | 2021-01-07 | 日志生成装置、日志生成方法和日志生成程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230273993A1 (zh) |
| JP (1) | JP7229443B2 (zh) |
| CN (1) | CN116670696A (zh) |
| DE (1) | DE112021005802T5 (zh) |
| WO (1) | WO2022149233A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6923806B2 (ja) * | 2018-01-09 | 2021-08-25 | 富士通株式会社 | 不正検知装置、不正検知方法、および不正検知プログラム |
| JP6879239B2 (ja) * | 2018-03-14 | 2021-06-02 | オムロン株式会社 | 異常検知システム、サポート装置およびモデル生成方法 |
| JP7115207B2 (ja) * | 2018-10-11 | 2022-08-09 | 富士通株式会社 | 学習プログラム、学習方法および学習装置 |
-
2021
- 2021-01-07 DE DE112021005802.9T patent/DE112021005802T5/de active Pending
- 2021-01-07 JP JP2022570240A patent/JP7229443B2/ja active Active
- 2021-01-07 WO PCT/JP2021/000313 patent/WO2022149233A1/ja active Application Filing
- 2021-01-07 CN CN202180086612.5A patent/CN116670696A/zh active Pending
-
2023
- 2023-05-09 US US18/195,133 patent/US20230273993A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2022149233A1 (zh) | 2022-07-14 |
| JP7229443B2 (ja) | 2023-02-27 |
| WO2022149233A1 (ja) | 2022-07-14 |
| DE112021005802T5 (de) | 2023-08-24 |
| US20230273993A1 (en) | 2023-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103620581B (zh) | 用于执行机器学习的用户界面和工作流 | |
| US20160202972A1 (en) | System and method for checking open source usage | |
| Tsukerman | Machine Learning for Cybersecurity Cookbook: Over 80 recipes on how to implement machine learning algorithms for building security systems using Python | |
| CN111164575B (zh) | 样本数据生成装置、样本数据生成方法和计算机能读取的存储介质 | |
| US12008137B2 (en) | Systems and method of contextual data masking for private and secure data linkage | |
| CN107688743A (zh) | 一种恶意程序的检测分析方法及系统 | |
| Vundavalli et al. | Malicious URL detection using supervised machine learning techniques | |
| CN102103667A (zh) | 文档使用管理系统、文档处理装置和方法及文档管理装置 | |
| US20230315846A1 (en) | System and method for detecting leaked documents on a computer network | |
| Singh et al. | Ransomware detection using process memory | |
| CN106790025B (zh) | 一种对链接进行恶意性检测的方法及装置 | |
| JP2006293671A (ja) | 情報処理装置,ファイル管理システムおよびファイル管理プログラム | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| Rowe | Identifying forensically uninteresting files using a large corpus | |
| Luz et al. | Data preprocessing and feature extraction for phishing URL detection | |
| Dubettier et al. | File type identification tools for digital investigations | |
| CN116670696A (zh) | 日志生成装置、日志生成方法和日志生成程序 | |
| Wang et al. | Malware detection using cnn via word embedding in cloud computing infrastructure | |
| KR101850650B1 (ko) | 랜섬웨어탐지를 수행하는 이동식저장장치 및 이를 위한 방법 | |
| JP6274090B2 (ja) | 脅威分析装置、及び脅威分析方法 | |
| US20220237289A1 (en) | Automated malware classification with human-readable explanations | |
| Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
| JP7566230B1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
| JP5286712B2 (ja) | 情報評価装置、情報評価方法、及び情報評価プログラム | |
| WO2024171423A1 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |