JP2012088843A - フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム - Google Patents

フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム Download PDF

Info

Publication number
JP2012088843A
JP2012088843A JP2010233639A JP2010233639A JP2012088843A JP 2012088843 A JP2012088843 A JP 2012088843A JP 2010233639 A JP2010233639 A JP 2010233639A JP 2010233639 A JP2010233639 A JP 2010233639A JP 2012088843 A JP2012088843 A JP 2012088843A
Authority
JP
Japan
Prior art keywords
filtering rule
risk
filtering
log
reduction amount
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2010233639A
Other languages
English (en)
Inventor
Kazuhisa Komaki
和久 古牧
Kazuo Yanoo
一男 矢野尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010233639A priority Critical patent/JP2012088843A/ja
Publication of JP2012088843A publication Critical patent/JP2012088843A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】 フィルタリングによる監視能力低下のリスクを評価した上で、監視能力低下を抑えながら必要なログ削減量を達成する事が可能なフィルタリングルールを決定することができる技術を提供する。
【解決手段】 本発明のフィルタリングルール決定システムは、フィルタリングルールをログに適用したときのリスクを評価するリスク評価部と、フィルタリングルールをログに適用したときのログの削減量を評価する削減量評価部と、リスク評価部と削減量評価部との評価結果に基づいて、フィルタリングルールを決定するフィルタリングルール決定部と、を含む。
【選択図】 図1

Description

本発明は、監視ログのフィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラムに関する。
情報漏えい、システムの不具合、不正利用などの脅威を監視するためにシステムの構成要素が生成するイベントログの監視が行われている。このような監視をする目的の一つは、脅威の発覚後における原因究明である。監視対象が生成するログは膨大であるため、全てのログを収集すると、以下のような問題がある。
・ログの保存に必要な記憶容量が大きくなる。
・ログの収集のために、より多くのリソース(ネットワーク容量など)が必要になる。
・原因究明のために、より多くのリソース(CPU時間など)が必要になる。
一般に、原因究明に必要な監視ログは、収集可能なログの一部だけである。したがって、原因究明に必要が無いログ、すなわち、監視能力を持たないログを収集しないことにより、収集するログの総量を削減し、上記の問題を抑制することができる。監視能力を持たないログを収集しないようにすることをフィルタリングと呼ぶ。また、ログが監視能力を持たないかどうかを判断する規則をフィルタリングルールと呼ぶ。
フィルタリングルールは、設定の仕方が重要である。また、状況に応じて適切に修正、追加および削減を行う必要がある。特許文献1には、冗長なフィルタを抽出する技術が開示されているが、必ずしも適切にフィルタリングの設定がなされる技術ではない。
フィルタリングルールを適切に設定しないと、以下のような問題が生じる。
・過大なフィルタリングにより、フィルタリングしなければ原因究明できた脅威の原因が究明できなくなる可能性がある。すなわち、過大なフィルタリングによって監視能力が低下するリスクがある。
・過少なフィルタリングにより、ログの削減効果が不十分になる。すなわち、ログの削減量が低下する。
過大なフィルタリングによる監視能力低下のリスクに対して、他の関連技術では以下のような対処がなされている。
特許文献2に記載の仲介装置は、管理装置と、該管理装置によって管理される被管理装置との間に位置し、両者と回線を介して接続される。仲介装置のログ情報取得手段は、被管理装置からログ情報を取得する。仲介装置のログフィルタは、ログ情報取得手段で取得したログ情報の異常を異常検知対応ルールで検知する。
仲介装置の関連性取得手段は、異常検知対応ルールと、被管理装置の障害との関連性を取得する。仲介装置の異常検知対応ルール生成手段は、関連性取得手段で取得した関連性に基づき、新しい異常検知対応ルールの生成を行う。最後に、仲介装置のログフィルタは、異常検知対応ルールを異常検知対応ルール生成手段で生成した新しい異常検知対応ルールに更新する。
特許文献3に記載のログ取得管理システムは、効率的且つ効果的に必要なログを取得する。ログ取得管理システムの判別手段は、イベントの発生に応答して当該イベントが条件データベースに記憶されているログ生成の除外条件を示すログ生成除外条件データのいずれかに該当するかを判別する。
イベントが条件データベースに記憶されているログ生成除外条件データのいずれかに該当すると判別された場合、ログ取得管理システムのログ生成手段は、当該イベントに対応するログを生成しない。イベントが条件データベースに記憶されているログ生成除外条件データのいずれにも該当しないと判別された場合、ログ取得管理システムのログ生成手段は、当該イベントに対応するログを生成してログデータベースに記憶する。ログ取得管理システムの条件削減手段は、条件データベースに記憶されている各ログ生成除外条件データが適正か否かを判定し、不適正なログ生成除外条件データを検出した場合、当該ログ生成除外条件データを前記条件データベースから削減する。
なお、ログ生成の除外条件を示すログ生成除外条件データは、ログを構成する項目の組み合わせのうちから出現度の高い組み合わせを表す相関ルールであって、所定期間単位で出現率が閾値を超える相関ルールである。
上記の関連技術では、障害との関連性や相関ルールを考慮することで、監視能力の低下に対するリスクへの対処がなされている。
特開2009−217392号公報 特開2008−204063号公報 特開2006−163931号公報 特開2005−286560号公報
離散システムの最適化 〜一目的から多目的へ 著 坂和正敏 森北出版株式会社
しかしながら上記の関連技術は、ログの削減量について考慮していないので、必ずしも必要なログ削減量を達成することができない。 本来フィルタリングの目的はログを削減することである。しかし、上記の関連技術はこの目的に対して評価を行っておらず、ログの削減効果を過剰に低下させるおそれがある。そのため、関連技術によるフィルタリング方法は、必ずしも適切なフィルタリング方法となっているとは言えない。
削減量を評価する技術として、特許文献4があるが、この技術はフィルタリングルールの決定に関する技術ではない。
以上より本発明の目的は、フィルタリングによる監視能力低下のリスクを評価した上で、監視能力低下を抑えながら必要なログ削減量を達成する事が可能なフィルタリングルールを決定することができる技術を提供することである。
上記目的を達成するために、本発明のフィルタリングルール決定システムは、フィルタリングルールをログに適用したときのリスクを評価するリスク評価部と、フィルタリングルールをログに適用したときのログの削減量を評価する削減量評価部と、リスク評価部と削減量評価部との評価結果に基づいて、適用するフィルタリングルールを決定するフィルタリングルール決定部と、を含む。
上記目的を達成するために、本発明のフィルタリングルール決定方法は、フィルタリングルールをログに適用したときのリスクを評価し、フィルタリングルールをログに適用したときのログの削減量を評価し、リスクと削減量との評価結果に基づいて、適用するフィルタリングルールを決定する。
上記目的を達成するために、本発明のプログラムは、フィルタリングルールをログに適用したときのリスクを評価し、フィルタリングルールをログに適用したときのログの削減量を評価し、リスクと削減量との評価結果に基づいて、適用するフィルタリングルールを決定する、処理をコンピュータに実行させる。
本発明によれば、フィルタリングによる監視能力低下のリスクを評価した上で、監視能力低下を抑えながら必要なログ削減量を達成する事が可能なフィルタリングルールを決定することができる。
本発明の第1の実施形態に係るフィルタリングルール決定システム1の機能構成を示すブロック図である。 観測事象分析部142が行う故障木解析の結果である観測情報の概念を示す図である。 リスク評価部142が生成するか、または予め有する不観測情報の例を示す図である。 リスク評価部142が行うリスク値の計算を説明するために用いる観測情報の概念を示す図である。第1の実施の形態の監視ログフィルタリングルール決定方法装置のステップ1の動作例を示すフローチャートである。 資産DB12からリスク評価部141に供給される資産情報の例を示す図である。 リスク評価部142がリスク値を計算する経過を説明するための図である。 リスク評価部141がリスク評価済みルール格納装置15に出力する情報の例を示す図である。 削減量評価部161がフィルタリングルール決定部162に出力する情報の例を示す図である。 フィルタリングルール決定部162がフィルタリングルールを決定するために用いる情報の例を示す図である。 フィルタリングルール決定部162の行う具体的な処理を説明するための図である。 図10の例における適用するルールを選択する処理を説明するための図である。 リスク評価装置14の動作を示すフローチャートである。 削減量評価部161の動作(S2)を示すフローチャートである。 フィルタリングルール決定システム1の全体の動作を示すフローチャートである。 本発明の第2の実施形態に係るフィルタリングルール決定システム2の機能構成を示すブロック図である。 基本事象の概念を表した図である。 基本事象について詳細に説明するための図である。 基本事象分析部213が基本事象格納部212に出力する基本事象の情報を表した図である。 フィルタリングルールと、そのフィルタリングルールにより削除される基本事象との対応関係に関する情報を表した図である。 依存リスク評価部211が、基本事象毎に、基本事象が削除された際のリスク値を計算した結果を示す図である。 基本事象削減量評価部221の削減量の評価結果を追記した図である。 依存フィルタリングルール決定部222がフィルタリングルールを決定するために用いる情報の例を示す図である。 依存リスク評価装置21の動作(S4)を示すフローチャートである。 依存フィルタリングルール決定装置22の動作(S5)を示すフローチャートである。 本発明の第3の実施形態に係るフィルタリングルール決定システム3の機能構成を示すブロック図である。 本発明を実施するための第3の実施の形態におけるフィルタリングルール決定システム3の動作を示すフローチャートである。 本発明の第4の実施形態に係るフィルタリングルール決定システム4の機能構成を示すブロック図である。
以下、本発明の実施形態について、図面を用いて説明する。すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
なお、各実施形態のフィルタリングルール決定システム1を構成する各装置における各部は、制御部、メモリ、メモリにロードされたプログラム、プログラムを格納するハードディスク等の記憶ユニット、ネットワーク接続用インターフェースなどからなり、ハードウェアとソフトウェアの任意の組合せによって実現される。そして特に断りのない限り、その実現方法、装置は限定されない。
制御部は、CPU(Central Processing Unit。以下同様。)などからなり、オペレーティングシステムを動作させてフィルタリングルール決定装置1の各装置の全体を制御する。また、制御部は、例えばドライブ装置などに装着された記録媒体からメモリにプログラムやデータを読み出し、これにしたがって各種の処理を実行する。
記録媒体は、例えば光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク、半導体メモリ等であって、コンピュータプログラムをコンピュータ読み取り可能に記録する。また、コンピュータプログラムは、通信網に接続されている図示しない外部コンピュータからダウンロードされても良い。
また、各実施形態の説明において利用するブロック図は、ハードウェア単位の構成ではなく、機能単位のブロックを示している。これらの機能ブロックはハードウェア、ソフトウェアの任意の組み合わせによって実現される。また、これらの図においては、各実施形態の構成部は物理的に結合した一つの装置により実現されるよう記載されている場合もあるが、その実現手段は特に限定されない。すなわち、二つ以上の物理的に分離した装置を有線または無線で接続し、これら複数の装置により、各実施形態のシステムを実現しても良い。
<第1の実施形態>
まず、図1を参照して本発明の第1の実施形態に係るフィルタリングルール決定システム1の機能構成を説明する。
図1は、本発明の第1の実施形態に係るフィルタリングルール決定システム1の機能構成を示すブロック図である。図1に示すように、フィルタリングルール決定システム1は、フィルタリングルール格納装置11と資産DB12とログ格納装置13とリスク評価装置14とリスク評価済みルール格納装置15とフィルタリングルール決定装置16とを含む。
リスク評価装置14は、入力元となるフィルタリングルール格納装置11と資産DB12と、出力先となるリスク評価済みルール格納装置15とがそれぞれ接続される。
フィルタリングルール決定装置16は、入力となるログ格納装置13とリスク評価済みルール格納装置15とがそれぞれ接続されており、図示しない装置に対し決定したフィルタリングルールの出力を行う。
フィルタリングルール格納装置11は、人手によって(専門家や管理者など知識のある者の手によるものでも良い)予め作成したフィルタリングルールを格納する。
本実施形態においてフィルタリングルールは、ある1つのログに対して削減できるフィルタリングルールは1つだけであるような互いに独立なフィルタリングルールとする。
資産DB12は、監視の対象となるシステム17(以下、監視対象システム17)に含まれる、監視対象の資産に関する情報である資産情報を格納する。また、資産DB12は、必要に応じてリスク評価装置14(観測事象分析部142及びリスク評価部141)に資産情報を供給する。
ここで、監視対象の資産とは、機密情報を保存したファイル(機密ファイル)、重要なサーバやネットワークなど、脅威が発生した際に原因を究明する必要がある資産のことである。また、資産情報は、その資産を識別する識別子と、資産の価値を表す値(資産価値)を含む。資産DB12は、人手によって作成されても良いし、監視対象システムを公知の資産情報分析手段を用いて分析することで作成されても良い。
ログ格納装置13は、監視対象システム17から評価用監視ログが入力される。評価用監視ログは、フィルタリングルールの削減量を評価するための監視ログである。ログ格納装置13は、監視対象システム17から入力された評価用監視ログの特徴を格納する。ログ格納装置13は、例えば、1週間の通常の業務内容を処理したマシンのログや、共通の業務内容を処理したグループ全員のマシンのログ等を取得しても良い。なお、ログ格納装置13は、人手によって任意に集められたログの特徴を格納しても良い。ここで、ログの特徴とは、ログに含まれる要素(例えば、プロセス名や、ファイルパス)の内容などである。
リスク評価装置14は、リスク評価部141と観測事象分析部142と観測情報格納部143とを含む。
リスク評価装置14は、フィルタリングルール格納装置11からの入力を得ると、リスク評価部141により観測情報格納部143の情報を用いてフィルタリングルールのリスクの評価を行い、結果をリスク評価済みルール格納装置15に格納する。リスク評価装置14を構成する各要素について説明する。
観測事象分析部142は、脅威が発生した際に、資産DB12に格納された資産情報に関して発生しうるログの特徴(観測事象)を分析する。例えば、資産がパスワード付きの「test.doc」だった場合、観測事象は、「wordに関するログ」、「test.docのディレクトリにアクセスしたログ」、「パスワード認証に関するログ」などの特徴である。
観測事象分析部142は、上記分析から観測事象と資産等との関係を表す観測情報を生成して観測情報格納部143に出力する。
観測事象分析部142が行う分析は、例えば故障木解析でも良い。または、観測事象分析部142は、監視対象システム17上で脅威を発生させ、その際に生じるログの特徴を採取して、観測事象としても良い。
観測情報格納部143は、観測事象分析部142から入力される観測情報を格納する。また、観測情報格納部143は、資産情報を格納しても良い。資産情報は、観測事象分析部142を通して、又は直接、資産DB12から観測情報格納部143に入力される。
リスク評価部141は、フィルタリングルールをログに適用したときのリスクを評価する。すなわち、リスク評価部141は、フィルタリングルール格納装置11に格納されたフィルタリングルールによって、どの程度の監視能力の低下が生じるかを評価し、評価結果を出力する。
具体的には、リスク評価部141は、フィルタリングルールを適用することによって収集されなくなるログの特徴と、観測情報格納部143に格納された観測情報を比較することによりリスク値を決定する。このリスク値が、監視能力の低下を評価した結果となる。リスク評価部141は、リスク値の計算に、観測情報格納部143が格納する資産情報を利用しても良い。リスク評価部141がリスク値を決定する処理は、後述する。リスク評価部141は、決定したリスク値をフィルタリングルールと対応付けて、評価結果(リスク評価済みフィルタリングルールとも言う)としてリスク評価済みルール格納装置15へ出力する。
リスク評価済みルール格納装置15は、評価結果を入力し、フィルタリングルールごとに、どの程度の監視能力の低下が生じうるかを評価した結果であるリスク値を格納する。すなわち、リスク評価済みルール格納装置15は、フィルタリングルールとリスク値とを関連付けた情報を格納する。この情報の中のフィルタリングルールは、リスク評価済みフィルタリングルールとも呼ばれる。
フィルタリングルール決定装置16は、削減量評価部161とフィルタリングルール決定部162とを含む。
フィルタリングルール決定装置16は、ログの削減量を評価した上でフィルタリングルールを決定する。フィルタリングルール決定装置16は、ログ格納装置13に格納されている評価用監視ログに対して、リスク評価済みルール格納装置15に格納されているリスク評価済みフィルタリングルールを適用して、フィルタリングルール毎のログの削減量を評価する。フィルタリングルール決定装置16は、削減量を評価した後、フィルタリングルールを決定する。フィルタリングルール決定装置16を構成する各要素について説明する。
削減量評価部161は、リスク評価済みフィルタリングルールをログに適用したときのログの削減量を評価する。すなわち、削減量評価部161は、リスク評価済みルール格納装置15が格納するリスク評価済みフィルタリングルールを、ログ格納装置13が格納する評価用監視ログに適用したときの削減量を測定し、測定した削減量を評価結果として出力する。
フィルタリングルール決定部162は、リスク評価済みルール格納装置15が格納するリスク評価部141の評価結果(特にフィルタリングルールごとのリスク値)と、削減量評価部161の評価結果(ログの削減量)とに基づいて、フィルタリングルールを決定する。
具体的には、フィルタリングルール決定部162は、リスクによる閾値と削減量の閾値を決めておき、それぞれを満たす最適なルールとなるように、リスク評価済みフィルタリングルールの中から複数のルールを選んでも良い。フィルタリングルール決定部162は、決定したフィルタリングルールを出力する。
次に、図2〜図11を参照して、観測事象分析部142、リスク評価部141、削減量評価部161、フィルタリングルール決定部162の機能構成を詳細に説明する。
観測事象分析部142は、例えば故障木解析によって観測事象を分析する。ここで、故障木とは、脅威の原因を、ログの特徴で表したものである。
図2は、観測事象分析部142が行う故障木解析の結果である観測情報の概念を示す図である。故障木解析の際、観測事象分析部142は、まず資産DB12に格納されている資産(α1、α2、α3・・・)に対して想定される脅威(β1、β2、β3・・・)を列挙する。次に、観測事象分析部142は、それぞれの脅威の原因となる要素(γ1、γ2、γ3・・・)を列挙する。この列挙を繰り返し、脅威の原因を、ログの特徴(y1、y2、y3・・・)で表す。該ログの特徴は、すなわち観測事象である。
観測事象分析部142は、分析の結果得られる、資産と、脅威と、脅威の原因となる要素と、その他複数の要素と、観測事象との関係(例えば図2で示される関係)を観測情報として、観測情報格納部143に出力する。なお、故障木解析によって図2で示すような関係を表す観測情報を生成する処理は、専門家などによって人手で行われても良い。
リスク評価部141は、フィルタリングルール格納装置11に格納されたフィルタリングルール毎に、どの程度の監視能力の低下が生じるかを評価する。
リスク評価部141は、フィルタリングルール格納装置11に格納されたフィルタリングルール毎に、該ルールの適用によってフィルタリングされるログの特徴(不観測事象)を予め有する。予め有する不観測事象は、フィルタリングルール作成時に想定した、フィルタリングされるログの特徴であっても良いし、また別の任意の方法から特定したものでも良い。または、フィルタリングルール格納装置11が、フィルタリングルール毎の不観測事象を予め格納していても良い。その場合、リスク評価部141は、必要に応じてフィルタリングルール格納装置11が格納する不観測事象を参照しても良い。
また、リスク評価部141は、フィルタリングルールと不観測事象とから不観測情報を生成するか、または不観測情報を予め有する(格納する)。図3は、リスク評価部142が生成するか、または予め有する不観測情報の例を示す図である。図3に示すように、不観測情報は、フィルタリングルールと不観測事象との対応関係を表す情報である。
リスク評価部141は、観測情報格納部143が格納する観測情報と、不観測情報とを比較して、観測事象に対して不観測事象が影響を与えるかどうかを調べる。具体的には、リスク評価部141は、観測事象である全てのログの特徴の中に、不観測事象であるログの特徴があるかどうかを調べる。リスク評価部141は、観測事象の中に不観測事象が含まれることにより、観測事象に対して不観測事象が影響を与えると判定した場合は、例えば、観測事象に影響を与える不観測事象の、観測事象に対する割合(損失情報)を、計算する。次に、リスク評価部141は、不観測事象の影響を受ける資産の資産価値と、該資産の前述の損失情報とを掛け合わせることによって、リスク値を計算し、リスクを評価しても良い。
図3〜図6を参照して、リスク評価部141が、資産価値と損失情報とを掛け合わせることによりリスク値を計算する例を説明する。
図4は、リスク評価部142が行うリスク値の計算を説明するために用いる観測情報の概念を示す図であり、図2を簡略化したものである。図5は、資産DB12からリスク評価部141に供給される資産情報の例を示す図である。図6は、リスク評価部142がリスク値を計算する経過を説明するための図である。
リスク値計算の説明の簡易のために、脅威の原因となる観測事象に対し、不観測事象が一つでも存在する場合、脅威は観測されなくなるとする。また、脅威はどれも等しいとする。
リスク評価部141が、ルールbのリスクを計算する例を説明する。なお、リスク評価部142は、ルールを適用することによるリスク値を、(資産α1の資産価値)×(α1の損失情報)+(資産α2の資産価値)×(α2の損失情報)として計算するとする。
リスク評価部142は、図3に示す不観測情報を参照し、ルールbは不観測事象y1を有することを判定する。リスク評価部142は、図4に示す観測情報を参照し、y1は脅威β1の原因となる観測事象であることを判定する。ルールbにより、資産α1は、脅威の1/3が特定されなくなる(β1、β2、β3のうちβ1が特定できなくなるから)。このため、資産α1に対する損失情報は、1/3となる。またルールbは、資産α2に対して影響を及ぼさない。また、図5によれば、資産α1の資産価値は2、資産α2の資産価値は4である。よって、リスク評価部142は、ルールbを適用することによるリスク値は、2×1/3+4×0=0.6であると判定する。なお、リスク値の少数第2位は、切り捨てとした。
リスク評価部141は、以上の計算方法によって、図6に示すように全てのルールについてのリスク値を計算する。なお、リスク評価部141が行うリスクの評価の方法は、リスクの評価として適正であればどのような方法であっても良く、これまで説明した資産価値と損失情報との掛け合わせによってリスク値を計算する方法に限定されない。
リスク評価部141は、フィルタリングルール毎にリスク値を計算した後、評価結果をリスク評価済みルール格納装置15に出力する。
図7は、リスク評価済みルール格納装置15が格納する情報の例を示す図である。リスク評価部141は、ルールとリスク値との対応を表す評価結果をリスク評価済みルール格納装置15に出力する。図7に示すように、リスク評価済みルール格納装置15は、該評価結果を、「del」の項目のデータとともに格納する。図7の「del」の項目は、後述する削減量評価部161がログ削減量を評価した結果を追記する項目である。ただし、図7において、「del」の項目のデータは、空である。
削減量評価部161は、すでにリスク評価がされているフィルタリングルール毎に、ログの削減量を評価する。削減量評価部161には、リスク評価済みルール格納装置15から、例えば図7に示すような情報が入力される。また、削減量評価部161には、ログ格納装置13から評価用監視ログが入力される。
削減量評価部161は、リスク評価済みフィルタリングルールを、評価用監視ログに適用してフィルタリングを行い、実際の削減量を計測する。削減量評価部161は、フィルタリングルール毎に計測した削減量を、リスク評価済みルール格納装置15内の情報(図7の「del」の項目)に追記して、図8に示すような情報として生成してもよい。また、削減量評価部161は、図8に示すような情報をフィルタリングルール決定部162に出力する。図8に示すように、削減量評価部161は、ルール毎のリスクと削減量との対応を表す情報を、フィルタリングルール決定部162に出力する。
フィルタリングルール決定部162は、リスク評価の結果と削減量の評価の結果とに基づいて、フィルタリングルールを決定する。すなわち、フィルタリングルール決定部162は、削減量評価部161から入力される図8に示すような情報に基づいてフィルタリングルールを決定する。フィルタリングルール決定部162は、例えば、リスク値と削減量に関する所定の式を最適化問題として解くことで、フィルタリングルールを決定しても良い。
図9は、フィルタリングルール決定部162がフィルタリングルールを決定するために用いる情報の例を示す図である。図9の項目(1)は、削減量評価部161から入力された図8に示す情報が対応する。ここでは、例としてX1、X2、X3、X4に対応する4つのフィルタリングルールについて考える。また、フィルタリングルール毎の、リスク評価部14により計算されたリスク値をr1、r2、r3、r4とし、削減量評価部161で計測された削減量をd1、d2、d3、d4とする。
図9の項目(2)、(3)、及び(4)は、フィルタリングルールを決定するための計算式(計算の制約の式)の情報である。図9(2)のXiは、対応するフィルタリングルールを適用するか(Xi=1)、適用しないか(Xi=0)を表す値である。Rは、適用するフィルタリングルール全体のリスクを表す。Dは、適用するフィルタリングルール全体のログ削減量を表す。
図9の項目(3)のR0は、リスク値の閾値を表す。MAXは、最大値の意味である。すなわち、図9の項目(3)の式は「リスク値がR0以下で削減量が最大のもの」という条件を表す。図9の項目(4)のD0は削減量の閾値を表す。Minは、最小値の意味である。すなわち、図9の項目(4)の式は、「削減量がD0以上でリスク値が最小のもの」という条件を表す。図9の項目(3)又は(4)の条件式は、フィルタリングルール決定部162が予め有するか、又はユーザの任意により入力されても良い。
フィルタリングルール決定部162は、図9の項目(4)を満たすようなR、Dを求めることにより、削減量が閾値以上でリスクが最小になるように、適用するフィルタリングルールを決定しても良い。または、フィルタリングルール決定部162は、図9の項目(3)を満たすようなR、Dを求めることにより、リスクが閾値以下で削減量が最大になるように、適用するフィルタリングルールを決定しても良い。フィルタリングルール決定部162は、図9の項目(3)または(4)を、非特許文献1に記載されている整数最適化問題として解いても良い。以下、具体的な数字を用いて、フィルタリングルール決定部162の行う処理を説明する。
図10は、フィルタリングルール決定部162の行う具体的な処理を説明するための図である。例えば、フィルタリングルール決定部162に削減量評価部161から図10の項目(1)のような情報が入力されると、図9の項目(2)は、図10の項目(2)のように求まる。図10の項目(3)において、R0=5とすると、フィルタリングルール決定部162は、リスク値が5を超えない範囲で、削減量Dが最大になるように、16通りのフィルタリングルールの中から選択する。
図11は、図10の例における適用するルールを選択する処理を説明するための図である。図11は、リスク値が5以下という条件を満たすX(X1、X2、X3、X4)の組み合わせと、そのXに対応するフィルタリングルールを適用したときのリスク値及び削減量との対応を表す。この結果により、フィルタリングルール決定部162は、削減量が最大となるXの組み合わせは、(X1、X2、X3、X4)=(0、1、1、0)、(1、0、0、1)の2つであると判定する。2つの組み合わせが得られたので、フィルタリングルール決定部162は、リスク値が最小となる(0、1、1、0)の組み合わせを選択する。以上より、フィルタリングルール決定部162は、X2とX3との組み合わせのフィルタリングルールを、適用するフィルタリングルールとして決定し、出力する。
以上、これまでの例では、全体のリスク値Rは個々のリスクの総和で算出されるものとしたが、別の方法で算出しても良い。例えば、全体のリスク値Rは、個々のリスクのうち最大のリスク値Rであると定義してもよい。また、フィルタリングルール決定部162は、上記で説明した最適化問題を解く以外の別の方法で、適用するフィルタリングルールを決定しても良い。
次に、図12〜図14を参照して、本発明の第1実施形態におけるフィルタリングルール決定システム1の動作を説明する。まず、リスク評価装置14がフィルタリングルール毎のリスクを評価する動作について説明する。
図12は、リスク評価装置14におけるリスク値の算出までの動作(S1)を示すフローチャートである。図12に示すように、まず観測事象分析部142は、資産DB12に格納されている資産情報に対して、脅威が発生した際に発生しうるログの特徴の分析を行い、観測情報を生成して観測情報格納部143に格納する(ステップS11)。なお、観測情報の例は、図2や図4に概念で示す。
次に、リスク評価部141は、フィルタリングルール格納装置11に格納されているフィルタリングルールを読み込む(ステップS12)。リスク評価部141は、読み込んだフィルタリングルールの各々に対して、不観測情報を生成する(ステップS13)。不観測情報とは、図3に示すような情報である。なお、上記したように、リスク評価部141は、不観測情報を予め有していても良い。
次に、リスク評価部141は、観測情報と不観測情報の結果から、観測事象に対して不観測事象が影響を与えるかどうかを調べる(ステップS14)。すなわち、リスク評価部141は、図2や図4で示されるような、故障木の観測事象の中に、図3に示される不観測事象があるかどうかを判定する。
もし、影響を与える(観測事象の中に不観測事象がある)ならば、不観測事象の観測事象に対する割合(損失情報)を算出し、そのリスク値を計算する(ステップS15)。リスク値は、例えば、上述したように資産価値と損失情報とを掛け合わせることによって計算しても良いし、別の方法で計算してもよい。
リスク評価部141は、S14とS15の処理を、フィルタリングルールの数だけ繰り返し行う(ステップS16)。
次に、フィルタリングルール決定装置16が含む、削減量評価部161の動作について説明する。
図13は、削減量評価部161における削減量算出までの動作(S2)を示すフローチャートである。図13に示すように、まず削減量評価部161は、リスク評価済みルール格納装置15に格納されているリスク評価済みフィルタリングルールを読み込む(ステップS21)。
次に、削減量評価部161は、ログ格納装置に格納されている評価用監視ログに対し、リスク評価済みフィルタリングルールを適用してフィルタリングを行い、実際の削減量を計測する(ステップS22)。
削減量評価部161は、S22の処理を、評価済みフィルタリングルールの数だけ繰り返し行う(ステップS23)。
次に、フィルタリングルール決定システム1の全体の動作を説明する。
図14は、フィルタリングルール決定システム1の全体の動作を示すフローチャートである。図14に示すように、まず、リスク評価装置14が、上述したS1の動作を行うことで、フィルタリングルール毎のリスクを評価する(ステップS1)。
次に、削減量評価部161が、上述したS2の動作を行うことで、フィルタリングルール毎のログ削減量を評価する(ステップS2)。
次に、フィルタリングルール決定部162は、S1とS2の結果より得られたフィルタリングルール毎のリスク値と削減量を考慮して、フィルタリングルールを決定する(ステップS3)。適用するフィルタリングルールは、例えば、既に詳細に説明したリスク値と削減量の最適化問題を解くことで決定しても良い。
以上説明したように、本発明の第1の実施形態に係るフィルタリングルール決定システム1によれば、フィルタリングによる監視能力低下のリスクを評価した上で、監視能力低下を抑えながら必要なログ削減量を達成する事が可能なフィルタリングルールを決定することができる。
なぜならば、リスク評価部141によるフィルタリングを行うことによるリスクの評価結果と、削減量評価部161によるフィルタリングを行うことによるログ削減量の評価結果に基づくことで、フィルタリングルール決定システム1は、監視能力と削減能力の両方を満足するようなフィルタリングルールを決定できるからである。
<第2の実施形態>
図15を参照して本発明の第2の実施形態に係るフィルタリングルール決定システム2の機能構成を説明する。
図15は、本発明の第2の実施形態に係るフィルタリングルール決定システム2の機能構成を示すブロック図である。図15に示すように、フィルタリングルール決定システム2は、依存リスク評価装置21と依存フィルタリングルール決定装置22と依存フィルタリングルール格納装置23とが、第1の実施形態に係るフィルタリングルール決定システム1と比較して異なる。フィルタリングルール決定システム1と同様の構成については、図1と同じ符号を付し、詳細な説明を省略する。
依存フィルタリングルール格納装置23は、互いに独立でないような依存関係を持ったフィルタリングルールも格納する。依存関係を持ったフィルタリングルールとは、異なる複数のフィルタリングルールのどちらからもフィルタリングされる要素があるようなルールである。
依存リスク評価装置21は、依存リスク評価部211と基本事象格納部212と基本事象分析部213とを含む。まず、基本事象分析部213について説明する。
基本事象分析部213は、資産DB12と依存フィルタリングルール格納装置23との入力を受け、観測事象とフィルタリングルールとから判断出来る基本事象を分析し、基本事象に関する情報を基本事象格納部212に出力する。なお、観測事象とは、第1の実施形態と同様、脅威が発生した際に、資産DB12に格納された資産情報に関して発生しうるログの特徴であるとする。
ここで基本事象とは、ログが含まれうる全ての事象からなる集合を分割する部分集合であり、以下の全ての条件を満たすものである。
(1)基本事象同士は共通の要素を持たない。
(2)基本事象に含まれる全ての事象は、あるフィルタリングルールによって全て削除されるか、一つも削除されないかのいずれかである。
(3)基本事象に含まれる全ての事象は、ある脅威の観測事象を全て含むか、一つも含まないかのいずれかである。
図16は、基本事象の概念を表した図である。図16に示すように、フィルタリングルール間の依存関係は、基本事象によって表現される。
基本事象分析部213についての詳細は、後述する。
基本事象格納部212は、基本事象分析部213が行った基本事象に関する情報である分析結果を格納する。また、基本事象格納部212は、資産情報(例えば図5に示す情報)を格納しても良い。資産情報は、基本事象分析部213を通して、又は直接、資産DB12から基本事象格納部212に入力されても良い。
依存リスク評価部211は、依存フィルタリングルール格納装置23と基本事象格納部212とから入力を受け、フィルタリングルールとフィルタリングされる基本事象との関係から、フィルタリングルール毎のリスクを評価する。
次に依存フィルタリングルール決定装置22について説明する。依存フィルタリングルール決定装置22は、基本事象削減量評価部221と、依存フィルタリングルール決定部222とを含む。
基本事象削減量評価部221は、リスク評価済みルール格納装置15が格納する情報の入力を受け、ログ格納装置13が格納する基本事象毎のログ削減量を計測する。
依存フィルタリングルール決定部222は、基本事象削減量評価部221からログ削減量に関する評価を含む情報が入力される。依存フィルタリングルール決定部222は、例えばリスクとログ削減量に関する最適化問題を解くことにより、許容できるリスクの範囲で最大のログ削減量を実現するフィルタリングルールを決定する。
次に、図17〜図21を参照して、基本事象分析部213、基本事象格納部212、依存リスク評価部211の機能構成について詳細に説明する。
基本事象分析部213は、第1の実施形態における観測事象分析部142と同様、脅威が発生した際に、資産DB12に格納された資産情報に関して発生しうるログの特徴(観測事象)を分析する。基本事象分析部213は、観測事象の分析を、例えば故障木解析などで行っても良い。
基本事象分析部213は、依存フィルタリングルール格納装置23からフィルタリングルールが入力される。基本事象分析部213は、フィルタリングルールと、不観測事象と、観測事象との関係から、基本事象を分析する。
ここで、基本事象分析部213は、依存フィルタリングルール格納装置23に格納されたフィルタリングルール毎に、該ルールの適用によってフィルタリングされるログの特徴(不観測事象)を予め有しても良い。予め有する不観測事象は、フィルタリングルール作成時に想定した、フィルタリングされるログの特徴であっても良いし、また別の任意の方法から特定したものでも良い。または、依存フィルタリングルール格納装置23が、フィルタリングルール毎の不観測事象を予め格納していても良い。その場合、基本事象分析部213は、必要に応じて依存フィルタリングルール格納装置23が格納する不観測事象を参照しても良い。または、依存フィルタリングルール格納装置23は、必要に応じて不観測事象を基本事象分析部213に出力しても良い。
図17は、基本事象について詳細に説明するための図である。図17の(a),(b)はそれぞれ、観測事象の集合を表す。図17(b)のzi(i=1,2,・・・)が基本事象である。基本事象は上記条件(1)(2)(3)を満たす事象なので、図17(a)のような基本事象ziは存在しない。
基本事象分析部213は、フィルタリングルールと、不観測事象と、観測事象との関係が、上記条件(1)(2)(3)を満たすように、観測事象を基本事象に分割する。上記条件(1)(2)(3)を満たすとき、基本事象は必ず図17(b)のziのように分割され、図17(a)のようには分割されない。
図18は、基本事象分析部213が基本事象格納部212に出力する基本事象の情報を表した図である。また、基本事象格納部212は、図18の基本事象の情報に加えて、図5に示すような資産情報を格納しても良い。
依存リスク評価部211は、基本事象格納装置212が格納する情報の入力を受け、又は参照して、基本事象毎のリスクを評価する。
図19及び図20は、依存リスク評価部211が行うリスク評価の処理に関係する図である。図19は、フィルタリングルールと、そのフィルタリングルールにより削除される基本事象との対応関係に関する情報を表した図である。図19によれば、例えば、フィルタリングルールx1は、基本事象z2、z3、z4を削除する。
なお、フィルタリングルールとフィルタリングされる基本事象の関係については、基本事象の作成過程で自明である。そのため、例えば基本事象分析部213が図19に関する情報を生成して、基本事象格納部212がその情報も格納しておくように構成しても良い。その場合、基本事象格納部212は、依存リスク評価部211に図19に示す情報も合わせて出力するようにしても良い。
図20は、依存リスク評価部211が、基本事象毎に、基本事象が削除された際のリスク値を計算した結果を示す図である。依存リスク評価部211は、第1の実施形態におけるリスク評価部141と同様、図2に示すような故障木解析を行うことで、基本事象が削除された際のリスク評価を行っても良い。
その場合、依存リスク評価部211は、削除される基本事象に含まれる観測事象(不観測事象)が、資産を特定するための観測事象(図2に示すyi)の中に含まれている場合に、影響があるとしてリスク値を計算しても良い。リスク値の計算方法は、第1の実施形態と同様に、例えば資産価値と損失情報とを掛け合わせることによって行っても良いし、別の方法で計算しても良い。
依存リスク評価部211は、図19及び図20に示すような情報を、リスク評価済みルール格納装置15に出力する。
基本事象削減量評価部221は、ログ格納装置13から入力される監視ログに対して、基本事象毎の削減量を計測する。
図21は、基本事象削減量評価部221の削減量の評価結果を追記した図である。図21に示すように、例えばフィルタリングルールによって基本事象ziが削除される時のリスクはriであり、削減量はdiである。
次に依存フィルタリングルール決定部222の機能構成について詳細に説明する。依存フィルタリングルール決定部222は、リスク評価の結果と削減量の評価の結果とに基づいて、フィルタリングルールを決定する。依存フィルタリングルール決定部222は、例えばリスクとログ削減量に関する最適化問題を解くことにより、フィルタリングルールを決定しても良い。
図22は、依存フィルタリングルール決定部222がフィルタリングルールを決定するために用いる情報の例を示す図である。図22の項目(1)は基本事象削減量評価部221から入力された図19及び図21に示す情報が対応する。
図22の項目(2)、(3)、(4)及び(5)は、フィルタリングルールを決定するための計算式(計算の制約の式)である。図22の項目(2)のx及びzは、0か1かの二値を取る。また、図22の項目(2)のx1、x2、x3、x4の式は、フィルタリングルールの依存関係の論理式を表す。また図22の項目(3)は、リスクと削減量を表す。
このとき、ログの閾値をD0とすると、図22の項目(5)を満たすようなR、Dを求めることにより、依存フィルタリングルール決定部222は、削減量が閾値D0以上でリスク最小のフィルタリングルールを決定する。
また、依存フィルタリングルール決定部222は、リスクの閾値をR0とし、図22の項目(4)を満たすようなR、Dを求めることにより、リスクが閾値R0以下で削減量最大のフィルタリングルールを決定しても良い。
ここで依存フィルタリングルール決定部222は、上述した論理式の最適化問題を、非特許文献1に記載されているような公知の制約最適化問題として解いても良い。また、依存フィルタリングルール決定部222は、図22の項目(2)の論理式を線形制約式に変形して、第1の実施形態と同様に公知の整数最適化問題として解いても良い。
次に、図23〜図24を参照して、本発明の第2実施形態におけるフィルタリングルール決定システム2の動作を説明する。まず、依存リスク評価装置21が、依存関係を持ったフィルタリングルール毎のリスクを評価する動作について説明する。
図23は、依存リスク評価装置21の動作(S4)を示すフローチャートである。まず、基本事象分析部213は、観測事象とフィルタリングルールとから判断出来る基本事象を分析する(ステップS41)。つまり、観測事象の集合は、図17(b)のように基本事象に分割される。
次に、依存リスク評価部211は、基本事象格納部212が格納している情報(図18に示すような情報)を用いて、フィルタリングルールと基本事象との関係を示す情報(図19に示すような情報)を生成する(ステップS42)。
また、依存リスク評価部211は、基本事象毎のリスク値を計算し、リスク値に関する情報を生成する(ステップS43)。
依存リスク評価部211は、ステップS42、S43で生成した情報をリスク評価済みルール格納装置15に出力する。
次に、フィルタリングルール決定システム2全体の動作について説明する。
図24は、依存フィルタリングルール決定装置22の動作(S5)を示すフローチャートである。図24に示すように、まず、依存リスク評価装置21が上述したS4の動作を行うことで、基本事象毎のリスクを評価する(ステップS4)。
次に、基本事象削減量評価部221が、ログ格納装置13が格納する監視ログを対象に、基本事象毎のログ削減量を評価する(ステップS5)。
次に、依存フィルタリングルール決定部222は、上記S4とS5の結果より得られた基本事象毎のリスク値と削減量の関係、及びフィルタリングルールと基本事象との関係に基づいて、適用するフィルタリングルールを決定する(ステップS6)。
適用するフィルタリングルールは、例えば、既に詳細に説明したリスク値と削減量の最適化問題を解くことで決定しても良い。
以上説明したように、本発明の第2の実施形態に係るフィルタリングルール決定システム2は、互いに独立ではないフィルタリングルールの組み合わせにより発生するリスクの変化や削減量の変化に対応でき、依存関係を持ったフィルタリングルールに対しても適用することが出来る。
なぜならば、基本事象毎のリスク及び削除量を評価することで、フィルタリングルール間の依存関係を考慮して最適なフィルタリングルールを決定できるからである。
<第3の実施形態>
次に本発明の第3の実施形態に係るフィルタリングルール決定システム3の機能構成を説明する。第3の実施の形態は、以下の点で第2の実施形態と異なる。
1点目は、第2の実施形態におけるログ格納装置13は試験データであるのに対し、第3の実施形態におけるログ格納装置13は、ログ収集装置4が取得したログを定期的に入力として受け付ける点である。
2点目は、第3の実施形態に係るフィルタリングルール決定システム3は、依存フィルタリングルール決定部222により決定したフィルタリングルールで実際にフィルタリングを行いその結果を保存装置5に格納する点である。
図25は、本発明の第3の実施形態に係るフィルタリングルール決定システム3の機能構成を示すブロック図である。図25に示すように、フィルタリングルール決定システム3は、フィルタリング部31とログ収集装置4と保存装置5が、フィルタリングルール決定システム2と異なりその他の構成要素については、フィルタリングルール決定システム2と同様である。フィルタリングルール決定システム2と同様の構成要素については、図15と同じ符号を付し、詳細な説明を省略する。
ログ収集装置4は、ログ格納装置13と接続されている。ログ収集装置4は、第1の実施形態及び第2の実施形態の監視対象システム17と異なり、実際に観測した監視ログを収集する装置である。ログ収集装置4は、ユーザが予め設定しておいた時間の間隔で定期的に、実際に観測した監視ログをログ格納装置13に出力する。
フィルタリング部31は、依存フィルタリングルール決定装置22で決定したフィルタリングルールで実際に監視ログに対してフィルタリングを行い、保存装置5に出力する。
図26は、本発明を実施するための第3の実施の形態におけるフィルタリングルール決定システム3の動作を示すフローチャートである。フィルタリングルール決定システム2の動作と異なる点は、ステップS5の後、フィルタリング部31が実際にフィルタリングを実行する点である(ステップS6)。
以上説明したように、本発明の第3の実施形態に係るフィルタリングルール決定システム3は、監視能力の低下をさらに減少、あるいは削減量をさらに増加させることができる。
なぜならば、依存フィルタリングルール決定装置22は、ログ収集装置4から予め決められた時間の間隔で定期的に監視ログの入力を受け付け、その入力ごとに基本事象削減量評価部221により削減量の評価が行われるからである。
一般にログは、監視対象の稼働状況により、その性質が変化するため、状況によりフィルタリングによる削減量が変化することが知られている。そのため、定期的に適用するフィルタリングルールを変更し、その度に削減量評価が最大となるフィルタリングルールを適用することで、フィルタリングルール決定システム3は、より適切にフィルタリングルールを決定することができる。
<第4の実施形態>
次に本発明の第4の実施形態に係るフィルタリングルール決定システム4の機能構成を説明する。
図27は、本発明の第4の実施形態に係るフィルタリングルール決定システム4の機能構成を示すブロック図である。図27に示すようにフィルタリングルール決定システム4は、リスク評価部141と、削減量評価部161と、フィルタリングルール決定部162と、を含む。
リスク評価部141は、フィルタリングルールをログに適用したときのリスクを評価する。
削減量評価部161は、フィルタリングルールをログに適用したときのログの削減量を評価する。
フィルタリングルール決定部162は、リスク評価部141と削減量評価部161との評価結果に基づいて、フィルタリングルールを決定する。
以上説明したように、本発明の第4の実施形態に係るフィルタリングルール決定システム4によれば、フィルタリングによる監視能力低下のリスクを評価した上で、監視能力低下を抑えながら必要なログ削減量を達成する事が可能なフィルタリングルールを決定することができる。
1 フィルタリングルール決定システム
2 フィルタリングルール決定システム
3 フィルタリングルール決定システム
4 ログ収集装置
5 保存装置
11 フィルタリングルール格納装置
12 資産DB
13 ログ格納装置
14 リスク評価装置
141 リスク評価部
142 観測事象分析部
143 観測情報格納部
15 リスク評価済みルール格納装置
16 フィルタリングルール決定装置
161 削減量評価部
162 フィルタリングルール決定部
21 依存リスク評価装置
211 依存リスク評価部
212 基本事象格納部
213 基本事象分析部
22 依存フィルタリングルール決定装置
221 基本事象削減量評価部
222 依存フィルタリングルール決定部
23 依存フィルタリングルール格納装置
31 フィルタリング部

Claims (9)

  1. フィルタリングルールをログに適用したときのリスクを評価するリスク評価部と、
    フィルタリングルールをログに適用したときのログの削減量を評価する削減量評価部と、
    前記リスク評価部と前記削減量評価部との評価結果に基づいて、フィルタリングルールを決定するフィルタリングルール決定部と、
    を含むフィルタリングルール決定システム。
  2. 前記リスク評価部は、観測したい資産を特定するために必要なログの特徴(観測事象)と、フィルタリングルールの適用によってフィルタリングされるログの特徴(不観測事象)とに基づいてリスク計算を行うことでリスクの評価を行う、
    請求項1に記載のフィルタリングルール決定システム。
  3. 前記リスク評価部は、前記観測事象に対して影響を与える不観測事象の、前記観測事象に対する割合である損失情報と、前記資産の価値を数値で表した資産価値とを掛け合わせることで前記リスク計算を行う、
    請求項1又は2に記載のフィルタリングルール決定システム。
  4. 前記フィルタリングルール決定部は、リスク及び削減量を評価した複数のフィルタリングルールのうちから、全体のリスクと削減量の関係が最適化されるように1つ以上の適用するフィルタリングルールを決定する、
    請求項1〜3に記載のフィルタリングルール決定システム。
  5. 前記フィルタリングルールは互いに独立でないような依存関係を持ったルールであって、
    前記リスク評価部は、前記依存関係を表現する基本事象に分割したログを対象にフィルタリングルールを適用したときのリスクを評価し、
    前記削減量評価部は、前記基本事象ごとに削減量を評価する、
    請求項1〜4に記載のフィルタリングルール決定システム。
  6. 前記ログは、監視対象システムから定期的に出力される監視ログであって、
    前記フィルタリングルール決定部が定期的に決定したフィルタリングルールに基づいてフィルタリングを行なうフィルタリング部をさらに含む、
    請求項1〜5に記載のフィルタリングルール決定システム。
  7. 請求項1〜6に記載のフィルタリングルール決定システムで決定したフィルタリングルールを適用してフィルタリングを行う、
    フィルタリング方法。
  8. フィルタリングルールをログに適用したときのリスクを評価し、
    フィルタリングルールをログに適用したときのログの削減量を評価し、
    前記リスクと前記削減量との評価結果に基づいて、適用するフィルタリングルールを決定する、
    フィルタリングルール決定方法。
  9. フィルタリングルールをログに適用したときのリスクを評価し、
    フィルタリングルールをログに適用したときのログの削減量を評価し、
    前記リスクと前記削減量との評価結果に基づいて、適用するフィルタリングルールを決定する、
    処理をコンピュータに実行させるプログラム。
JP2010233639A 2010-10-18 2010-10-18 フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム Withdrawn JP2012088843A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010233639A JP2012088843A (ja) 2010-10-18 2010-10-18 フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010233639A JP2012088843A (ja) 2010-10-18 2010-10-18 フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2012088843A true JP2012088843A (ja) 2012-05-10

Family

ID=46260417

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010233639A Withdrawn JP2012088843A (ja) 2010-10-18 2010-10-18 フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2012088843A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014050256A1 (ja) * 2012-09-25 2014-04-03 ジヤトコ株式会社 装置又は部品の製造方法
JP2017049715A (ja) * 2015-08-31 2017-03-09 富士通株式会社 ログ管理プログラム、ログ管理方法およびログ管理装置
JP2018181234A (ja) * 2017-04-21 2018-11-15 ヤフー株式会社 データ管理装置、データ管理方法、およびプログラム
CN109189807A (zh) * 2018-09-13 2019-01-11 北京奇虎科技有限公司 一种报警数据的过滤方法和装置
WO2020066783A1 (ja) * 2018-09-26 2020-04-02 株式会社ラック 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014050256A1 (ja) * 2012-09-25 2014-04-03 ジヤトコ株式会社 装置又は部品の製造方法
JP2014067135A (ja) * 2012-09-25 2014-04-17 Jatco Ltd 装置又は部品の製造方法
JP2017049715A (ja) * 2015-08-31 2017-03-09 富士通株式会社 ログ管理プログラム、ログ管理方法およびログ管理装置
JP2018181234A (ja) * 2017-04-21 2018-11-15 ヤフー株式会社 データ管理装置、データ管理方法、およびプログラム
CN109189807A (zh) * 2018-09-13 2019-01-11 北京奇虎科技有限公司 一种报警数据的过滤方法和装置
WO2020066783A1 (ja) * 2018-09-26 2020-04-02 株式会社ラック 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム

Similar Documents

Publication Publication Date Title
US11954003B2 (en) High level analysis system with report outputting
US10318494B2 (en) Analyzing and visualizing trends in the use and consumption of data in a shared storage system
US9361592B2 (en) Automated defect and optimization discovery
US8140591B2 (en) Enabling workflow awareness within a business process management (BPM) system
EP2685380B1 (en) Operations management unit, operations management method, and program
US9971664B2 (en) Disaster recovery protection based on resource consumption patterns
US10263833B2 (en) Root cause investigation of site speed performance anomalies
US10565172B2 (en) Adjusting application of a set of data quality rules based on data analysis
US20160112245A1 (en) Anomaly detection and alarming based on capacity and placement planning
US8659415B2 (en) Alarm management
JP2012088843A (ja) フィルタリングルール決定システム、フィルタリングルール決定方法、フィルタリング方法およびプログラム
KR20170040210A (ko) 분산 시스템에서 결함을 분석하기 위한 비주얼 툴
US10417712B2 (en) Enterprise application high availability scoring and prioritization system
US20210366268A1 (en) Automatic tuning of incident noise
WO2019168606A1 (en) Summary chains in distributed systems
CN116204385A (zh) 一种计算机日志监控方法及系统
US9448998B1 (en) Systems and methods for monitoring multiple heterogeneous software applications
US20170154275A1 (en) Statistical detection of site speed performance anomalies
CA2928492A1 (en) Systems and methods for deriving, storing, and visualizing a numeric baseline for time-series numeric data which considers the time, coincidental events, and relevance of the datapoints as part of the derivation and visualization
GB2472736A (en) Maintenance operation support program, maintenance operation support method and maintenance operation support device
US20210406385A1 (en) Analysis unit for analyzing a system or portion thereof
US9202167B1 (en) Automated defect identification and resolution
Imran et al. Log as a Secure Service Scheme (LASS) for Cloud
JP2023072547A (ja) 状態分析装置、及び状態推定方法
Nikiforov et al. Early Detection of Tasks with Uncommonly Long Run Duration in Post-trade Systems

Legal Events

Date Code Title Description
A300 Withdrawal of application because of no request for examination

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20140107