JP2006268775A5 - - Google Patents

Download PDF

Info

Publication number
JP2006268775A5
JP2006268775A5 JP2005089891A JP2005089891A JP2006268775A5 JP 2006268775 A5 JP2006268775 A5 JP 2006268775A5 JP 2005089891 A JP2005089891 A JP 2005089891A JP 2005089891 A JP2005089891 A JP 2005089891A JP 2006268775 A5 JP2006268775 A5 JP 2006268775A5
Authority
JP
Japan
Prior art keywords
model
unit
software
instructions
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005089891A
Other languages
Japanese (ja)
Other versions
JP2006268775A (en
JP4913353B2 (en
Filing date
Publication date
Application filed filed Critical
Priority to JP2005089891A priority Critical patent/JP4913353B2/en
Priority claimed from JP2005089891A external-priority patent/JP4913353B2/en
Publication of JP2006268775A publication Critical patent/JP2006268775A/en
Publication of JP2006268775A5 publication Critical patent/JP2006268775A5/ja
Application granted granted Critical
Publication of JP4913353B2 publication Critical patent/JP4913353B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Claims (10)

監視対象ソフトウェアの正常動作をモデル化するソフトウェア動作モデル化装置であって、
前記監視対象ソフトウェアを複数回試行させて、
前記監視対象ソフトウェアが動作中に発行したインストラクションを取得するインストラクション取得部と、
前記取得したインストラクションを試行毎に時系列で蓄積するインストラクション蓄積部と、
前記インストラクション蓄積部に蓄積されたインストラクションの時系列を試行毎に読み込み、インストラクションの時系列から動作モデルを作成するモデル生成部と、
前記モデル生成部が前回の読み込みまでで生成した監視対象ソフトウェアの動作モデルを蓄積するモデル蓄積部とを備え、
前記モデル蓄積部は、
前記モデル生成部が前回の読み込みまでで生成した木構造モデルを蓄積する第1のモデル蓄積部と、
前記モデル生成部が前回の読み込みまでで生成したインストラクション発行の統計量を特徴量とする動作モデルを蓄積する第2のモデル蓄積部とを有し、
前記モデル生成部は、
今回読み込んだインストラクションの時系列を学習系列とし、前記学習系列と前記第1のモデル蓄積部に蓄積された動作モデルとから木構造モデルを生成する第1のモデル生成部と、
前記学習系列から統計量を導出し、更に、前記第2のモデル蓄積部に蓄積された動作モデルを、前記統計量を用いて学習する第2のモデル生成部とを有することを特徴とするソフトウェア動作モデル化装置。 A software behavior modeling device that models the normal operation of monitored software,
Let the monitored software try multiple times,
An instruction acquisition unit for acquiring instructions issued during operation of the monitored software;
An instruction storage unit for storing the acquired instructions in a time series for each trial;
A model generation unit that reads the time series of instructions stored in the instruction storage unit for each trial and creates an operation model from the time series of instructions;
A model accumulating unit for accumulating an operation model of the monitored software generated by the model generating unit until the previous reading;
The model storage unit
A first model storage unit that stores the tree structure model generated by the model generation unit up to the previous reading;
A second model accumulating unit for accumulating an operation model whose feature value is a statistical amount of instruction issuance generated until the previous reading by the model generating unit;
The model generation unit
A time series of instructions read this time as a learning series, a first model generation unit that generates a tree structure model from the learning series and the motion model stored in the first model storage unit;
Software having a second model generation unit for deriving a statistic from the learning sequence and learning the behavior model stored in the second model storage unit using the statistic Behavior modeling device. 前記第2のモデル蓄積部は、前記モデル生成部が前回の読み込みまでで生成したインストラクションの共起頻度を特徴量とする動作モデルを蓄積し、
前記第2のモデル生成部は、前記学習系列から統計量を導出し、更に、前記第2のモデル蓄積部に蓄積された動作モデルを、前記共起頻度を用いて学習することを特徴とする請求項1に記載のソフトウェア動作モデル化装置。 The second model accumulating unit accumulates an operation model having the feature co-occurrence frequency of instructions generated by the model generating unit until the previous reading,
The second model generation unit derives a statistic from the learning sequence, and further learns the behavior model stored in the second model storage unit using the co-occurrence frequency. The software behavior modeling apparatus according to claim 1. 前記監視対象ソフトウェアの異常動作が入力された場合、前記取得したインストラクションから、前記異常動作によって生じたインストラクションの時系列を分離する負例分離部を更に備え、
前記負例分離部は、前記取得したインストラクションを、前記第1のモデル蓄積部に蓄積された動作モデル上でトレースし、前記動作モデルと異なるインストラクションが現れた時点からのインストラクション時系列を異常動作によって生じたインストラクション列である負例であると判断し、
前記第2のモデル生成部は、前記負例を用いて、異常動作のモデルを生成することを特徴とする請求項1又は2に記載のソフトウェア動作モデル化装置。 When an abnormal operation of the monitoring target software is input, a negative example separation unit that separates a time series of instructions generated by the abnormal operation from the acquired instructions,
The negative example separation unit traces the acquired instruction on an operation model stored in the first model storage unit, and an instruction time series from the point in time when an instruction different from the operation model appears by an abnormal operation. Judged as a negative example of the resulting instruction sequence,
The software behavior modeling device according to claim 1, wherein the second model generation unit generates a model of an abnormal operation using the negative example. 前記監視対象ソフトウェアを動作させた計算機環境情報を、生成した動作モデルにメタ情報として付与するメタ情報付与部を更に備えることを特徴とする請求項1〜3のいずれか1項に記載のソフトウェア動作モデル化装置。   The software operation according to any one of claims 1 to 3, further comprising a meta information adding unit that adds, as meta information, computer environment information in which the monitoring target software is operated to the generated operation model. Modeling device. 監視対象ソフトウェアの動作を監視するソフトウェア動作監視装置であって、
前記監視対象ソフトウェアが動作中に発行したインストラクションを取得するインストラクション取得部と、
前記取得したインストラクションを時系列で蓄積するインストラクション蓄積部と、
前記監視対象ソフトウェアの木構造モデルを蓄積した第1のモデル蓄積部から前記木構造モデルを取得し、前記木構造モデル上でトレースすることで、正常動作との乖離を判定する第1の検証部と、
前記インストラクション蓄積部が蓄積したインストラクションの時系列のうち、前記第1の検証部が乖離と判断した時点からの時系列を検証系列とし、前記監視対象ソフトウェアのインストラクション発行の統計量を特徴量とした動作モデルを蓄積した第2のモデル蓄積部から前記動作モデルを取得し、前記検証系列からの統計量を生成し、前記動作モデルとの判別分析によって、正常動作との乖離を判定する第2の検証部とを備えることを特徴とするソフトウェア動作監視装置。 A software operation monitoring device for monitoring the operation of monitored software,
An instruction acquisition unit for acquiring instructions issued during operation of the monitored software;
An instruction storage unit for storing the acquired instructions in time series;
A first verification unit that obtains the tree structure model from the first model storage unit that stores the tree structure model of the monitoring target software and traces the tree structure model on the tree structure model, thereby determining a deviation from a normal operation When,
Among the time series of instructions accumulated by the instruction accumulation unit, the time series from the time point when the first verification unit determines to be a divergence is used as a verification series, and the statistical amount of instruction issuance of the monitored software is used as a feature quantity. The behavior model is acquired from the second model accumulation unit that has accumulated the behavior model, a statistic is generated from the verification sequence, and discriminant analysis with the behavior model is performed to determine a deviation from the normal behavior A software operation monitoring apparatus comprising: a verification unit. 前記第1の検証部は、前記監視対象ソフトウェアの木構造モデルを蓄積した第1のモデル蓄積部から前記木構造モデルを取得し、前記インストラクション取得部が前記インストラクションを取得した順に、前記木構造モデル上でトレースすることで、正常動作との乖離を判定することを特徴とする請求項5に記載のソフトウェア動作監視装置。   The first verification unit acquires the tree structure model from a first model storage unit that stores the tree structure model of the monitoring target software, and the tree structure model is acquired in the order in which the instruction acquisition unit acquires the instructions. The software operation monitoring apparatus according to claim 5, wherein the deviation from the normal operation is determined by tracing above. 前記第2のモデル蓄積部は、前記監視対象ソフトウェアが発行したインストラクションの共起頻度を特徴量とする動作モデルを蓄積し、
前記第2のモデル検証部は、前記検証系列からインストラクションの共起頻度を導出し、前記動作モデルとの判別分析によって、正常動作との乖離を判定することを特徴とする請求項5に記載のソフトウェア動作監視装置。 The second model accumulating unit accumulates an operation model having a feature amount of a co-occurrence frequency of instructions issued by the monitoring target software,
The said 2nd model verification part derives | leads-out the co-occurrence frequency of an instruction | indication from the said verification series, and discriminate | determines the deviation from a normal operation | movement by discriminant analysis with the said operation model. Software operation monitoring device. 前記インストラクション蓄積部が蓄積したインストラクションの時系列を学習系列とし、前記第1のモデル蓄積部に蓄積された木構造モデルと、前記第2のモデル蓄積部に蓄積されたインストラクション発行の統計量を特徴量とする動作モデルとを、前記学習系列を利用して学習するモデル学習部を更に備え、
前記モデル学習部は、前記第2の検証部が、前記監視対象ソフトウェアの動作が正常であると判定した場合のみ、モデルを学習することを特徴とする請求項5〜7のいずれか1項に記載のソフトウェア動作監視装置。 A time series of instructions accumulated by the instruction accumulation unit is used as a learning sequence, and the tree structure model accumulated in the first model accumulation unit and the instruction issuance statistics accumulated in the second model accumulation unit are characterized. A model learning unit that learns the behavior model as a quantity using the learning sequence;
8. The model learning unit according to claim 5, wherein the model learning unit learns a model only when the second verification unit determines that the operation of the monitoring target software is normal. 9. The software operation monitoring device described. 前記検証系列は、前記監視対象ソフトウェアが終了するまでに発行されたインストラクションの時系列の部分列の集合であることを特徴とする請求項5〜8のいずれか1項に記載のソフトウェア動作監視装置。   The software operation monitoring apparatus according to claim 5, wherein the verification sequence is a set of time series subsequences of instructions issued until the monitoring target software is terminated. . 前記部分列は、前記インストラクションの時系列を前記監視対象ソフトウェアがシステムコールを発行するタイミングで区切ることで生成されることを特徴とする請求項9に記載のソフトウェア動作監視装置。   The software operation monitoring apparatus according to claim 9, wherein the partial sequence is generated by dividing the time series of the instructions at a timing at which the monitoring target software issues a system call.
JP2005089891A 2005-03-25 2005-03-25 Software operation modeling device and software operation monitoring device Expired - Fee Related JP4913353B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005089891A JP4913353B2 (en) 2005-03-25 2005-03-25 Software operation modeling device and software operation monitoring device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005089891A JP4913353B2 (en) 2005-03-25 2005-03-25 Software operation modeling device and software operation monitoring device

Publications (3)

Publication Number Publication Date
JP2006268775A JP2006268775A (en) 2006-10-05
JP2006268775A5 true JP2006268775A5 (en) 2008-05-08
JP4913353B2 JP4913353B2 (en) 2012-04-11

Family

ID=37204621

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005089891A Expired - Fee Related JP4913353B2 (en) 2005-03-25 2005-03-25 Software operation modeling device and software operation monitoring device

Country Status (1)

Country Link
JP (1) JP4913353B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008129714A (en) * 2006-11-17 2008-06-05 Univ Of Tsukuba Abnormality detection method, abnormality detection device, abnormality detection program, and learning model generation method
JP4962026B2 (en) * 2007-01-31 2012-06-27 日本電気株式会社 User level process control device having process management function, method and program thereof
JP5081480B2 (en) * 2007-03-28 2012-11-28 株式会社エヌ・ティ・ティ・ドコモ Software behavior modeling device, software behavior modeling method, software behavior verification device, and software behavior verification method
US8099718B2 (en) * 2007-11-13 2012-01-17 Intel Corporation Method and system for whitelisting software components
JP5714543B2 (en) * 2012-08-23 2015-05-07 トヨタ自動車株式会社 Computer with self-monitoring function, monitoring program
WO2019167225A1 (en) * 2018-03-01 2019-09-06 日本電気株式会社 Information processing device, control method, and program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185345A (en) * 2002-12-04 2004-07-02 Hitachi Ltd Debug method and system

Similar Documents

Publication Publication Date Title
JP2006268775A5 (en)
CN109448100B (en) Three-dimensional model format conversion method, system, computer device and storage medium
JP2017508210A5 (en)
JP2012529716A5 (en)
US10891219B1 (en) Code failure prediction system
CN107797913A (en) A kind of software analysis System and method for of real-time system
CN110619210A (en) Simulator detection method and system
GB2606918A (en) Root cause analysis using granger causality
JP6691295B2 (en) Information processing apparatus, program execution state display method, and program execution state display program
CN104199754A (en) Production failure analysis system
CN109491883A (en) Performance detects control methods and system simultaneously between applying under a kind of Android platform more
JPWO2021230316A5 (en)
JPWO2021149528A5 (en)
US20120278030A1 (en) Computing device and method for configuring assembly information of a data center
JP6845703B2 (en) Plant status information presentation system and plant status information presentation method
JP4906760B2 (en) Trace data analysis method and program thereof
US7725285B2 (en) Method and apparatus for determining whether components are not present in a computer system
RU2016147085A (en) ACCESS TO SEMANTIC CONTENT IN THE DEVELOPMENT SYSTEM
JP2015046202A5 (en) Sales management device and program
JP6405851B2 (en) Predictive detection support program, method, apparatus, and predictive detection program,
US20140325490A1 (en) Classifying Source Code Using an Expertise Model
JP5153724B2 (en) Processing time estimation device and processing time estimation program
RU2017125475A (en) Monitoring patient exposure to environmental factors
JP2005202908A5 (en)
Avros et al. Boosted decision trees for behaviour mining of concurrent programmes