JP2016218788A - Log extraction system, log extraction method, and log extraction program - Google Patents
Log extraction system, log extraction method, and log extraction program Download PDFInfo
- Publication number
- JP2016218788A JP2016218788A JP2015103767A JP2015103767A JP2016218788A JP 2016218788 A JP2016218788 A JP 2016218788A JP 2015103767 A JP2015103767 A JP 2015103767A JP 2015103767 A JP2015103767 A JP 2015103767A JP 2016218788 A JP2016218788 A JP 2016218788A
- Authority
- JP
- Japan
- Prior art keywords
- log
- trace
- file
- file operation
- search
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ログ抽出システム、ログ抽出方法およびログ抽出プログラムに関する。 The present invention relates to a log extraction system, a log extraction method, and a log extraction program.
オフィスで日常的に行われる業務の多くは、コンピュータを用いて、文書作成、表計算作成、電子メール操作、Webブラウジングを行い、電子ファイルを作成したり、編集したりしながら、進められている。このようなコンピュータシステムでは、電子ファイルに対して行った操作をログとして保存し、電子ファイルの利用状況等を把握するためのログ管理システムが利用されている。 Many of the tasks that are routinely performed in the office are carried out while creating and editing electronic files using computers to create documents, spreadsheets, e-mail operations, and web browsing. . In such a computer system, a log management system for storing operations performed on electronic files as a log and grasping the usage status of the electronic file is used.
従来、ログ管理システムに保存されたログを利用して、コンピュータシステム上で動作した非定常プログラムの動作ログを収集、蓄積し、動作の履歴を指定してトレース(追跡)するフォレンジクス技術が知られている。なお、非定常プログラムとは、業務上不必要だったり、使用が禁止されたりしているプログラムや例えばマルウェアといった業務端末上で日常的でなく動作するプログラムである。 Conventionally, forensics technology that collects and accumulates operation logs of unsteady programs that run on a computer system using logs stored in a log management system, and specifies and traces the operation history is known. ing. Note that the unsteady program is a program that is not necessary for business, is prohibited from being used, or is a program that runs on a business terminal, such as malware, on an irregular basis.
例えば、フォレンジクス技術に関連して、大量のファイル操作のログを可視化し、ファイルに対して行われた操作をトレース可能にする技術が知られている(例えば、非特許文献1または非特許文献2参照)。また、ファイル操作ログのツリーを高速に抽出する方法が知られている(例えば、特許文献1参照)。
For example, in relation to the forensics technique, a technique for visualizing a log of a large amount of file operation and tracing the operation performed on the file is known (for example, Non-Patent
しかしながら、従来技術においては、ファイル操作のログは蓄積されていたが、プロセスの起動に関する情報が蓄積されていないため、非定常プログラムが実行されたことを確実に把握することができないという問題がある。 However, in the prior art, the file operation log has been accumulated, but there is a problem in that it is not possible to reliably grasp that the unsteady program has been executed because information relating to process startup is not accumulated. .
例えば、非定常プログラムが確かに実行されたことを曖昧さなく確実に把握するためには、プロセス起動のログを参照する必要がある。しかし、非特許文献1および非特許文献2には、ファイル操作のログを可視化することは記載されているが、プロセスの起動に関する情報についての記載はない。
For example, in order to ascertain unambiguously that an unsteady program has been executed without fail, it is necessary to refer to a process activation log. However, although Non-Patent
具体的には、蓄積されるログがファイル操作イベントに関するものに限られている場合、ファイルの生成、削除等については判別できるが、例えば、プロセスA自身のファイルAが生成されたログと、プロセスAがファイルBを生成したログと、プロセスBがファイルAを削除したログに対して、ファイル名だけではファイルAとファイルBを曖昧さなく結びつけることは困難であった。 Specifically, when the accumulated logs are limited to those related to file operation events, the generation and deletion of files can be determined. For example, the log in which process A's own file A is generated and the process It is difficult to connect the file A and the file B without ambiguity to the log in which the file A is generated by the A and the log in which the process B deletes the file A.
本発明のログ抽出システムは、端末のプロセスの起動イベントを示すプロセス起動ログと、ファイルの操作イベントを示すファイル操作ログと、を含むログ情報を蓄積するログ蓄積部と、トレースの起点となる検索条件であるトレースキーに関連する前記プロセス起動ログまたは前記ファイル操作ログを、トレースログとして抽出し、該トレースログに関連する他のプロセス起動ログまたは他のファイル操作ログを、トレースログとして抽出するログ抽出部と、を有することを特徴とする。 The log extraction system of the present invention includes a process start log indicating a process start event of a terminal, a file operation log indicating a file operation event, a log storage unit for storing log information including a file operation log, and a search as a starting point of a trace The process start log or the file operation log related to the trace key which is a condition is extracted as a trace log, and the other process start log or other file operation log related to the trace log is extracted as a trace log. And an extraction unit.
本発明のログ抽出方法は、端末のプロセスの起動イベントを示すプロセス起動ログと、ファイルの操作イベントを示すファイル操作ログと、を含むログ情報を蓄積するログ蓄積工程と、トレースの起点となる検索条件であるトレースキーに関連する前記プロセス起動ログまたは前記ファイル操作ログを、トレースログとして抽出し、該トレースログに関連する他のプロセス起動ログまたは他のファイル操作ログを、トレースログとして抽出するログ抽出工程と、を含んだことを特徴とする。 The log extraction method of the present invention includes a log accumulation step for accumulating log information including a process activation log indicating a process activation event of a terminal, a file operation log indicating a file operation event, and a search as a starting point of a trace. The process start log or the file operation log related to the trace key which is a condition is extracted as a trace log, and the other process start log or other file operation log related to the trace log is extracted as a trace log. And an extraction step.
本発明によれば、ファイル操作のログだけでなく、プロセスの起動に関する情報も利用し、非定常プログラムが実行されたことを確実に把握する。 According to the present invention, not only a file operation log but also information related to process activation is used to reliably grasp that an unsteady program has been executed.
以下に、本願に係るログ抽出システム、ログ抽出方法およびログ抽出プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係るログ抽出システム、ログ抽出方法およびログ抽出プログラムが限定されるものではない。 Hereinafter, embodiments of a log extraction system, a log extraction method, and a log extraction program according to the present application will be described in detail with reference to the drawings. In addition, the log extraction system, the log extraction method, and the log extraction program according to the present application are not limited by this embodiment.
[第1の実施形態の構成]
まず、図1を用いて、ログ抽出システムの構成について説明する。図1は、第1の実施形態に係るログ抽出システムの構成の一例を示す図である。図1に示すように、ログ抽出システム1は、端末10、ログ管理装置20および管理端末30を有する。
[Configuration of First Embodiment]
First, the configuration of the log extraction system will be described with reference to FIG. FIG. 1 is a diagram illustrating an example of a configuration of a log extraction system according to the first embodiment. As illustrated in FIG. 1, the
端末10はエージェントソフトウェア11を備え、ログをログ管理装置20へ転送する。そして、ログ管理装置20は、受信部21、ログ抽出部22、ログ蓄積部23を有する。また、ログ蓄積部23には、ファイルの操作イベントを示すファイル操作ログを蓄積するファイル操作ログ蓄積部231および端末のプロセスの起動イベントを示すプロセス起動ログを蓄積するプロセス起動ログ蓄積部232が含まれる。また、管理端末30は、トレースキー設定部32、クエリ送信部31および表示部33を有する。
The
端末10、ログ管理装置20および管理端末30はネットワークに接続され相互に通信可能になっているものとする。また、端末10には、ログを生成し蓄積する機能およびログをログ管理装置20に送信する機能を有するエージェントソフトウェア11がインストールされている。なお、エージェントソフトウェア11が生成し送信するログには、ファイル操作ログおよびプロセス起動ログが含まれている。また、端末10はネットワーク上に複数台あっても良く、ネットワークは例えば会社内で使用するLAN(Local Area Network)であってもよい。また、ネットワークは、ロケーションが分かれていても論理的にLANを構成するものであってもよいし、インターネットに直接接続されていてもよい。
It is assumed that the
ログ管理装置20の受信部21は端末10からログを受信し、受信したログをログ蓄積部23のファイル操作ログ蓄積部231およびプロセス起動ログ蓄積部232に登録し蓄積する。また、ログ抽出部22は、管理端末30のトレースキー設定部32で設定されたトレースキーを、クエリ送信部31を介して受け取る。そして、ログ抽出部22は、トレースキーを用いてログ蓄積部23に蓄積されているログを検索しトレースログとして抽出する。
The receiving
この時、ログ抽出部22は、単にトレースキーを検索条件としてログを検索し抽出するだけでなく、トレースの起点となる検索条件であるトレースキーに関連するプロセス起動ログまたはファイル操作ログを、トレースログとして抽出し、該トレースログに関連するプロセス起動ログまたはファイル操作ログを、トレースログとして抽出する。これにより、ログ抽出部22は、トレースキーに直接および間接的に関連するログを検索する。そして、ログ抽出部22は、検索したトレースログの集合を管理端末30に送信する。なお、図1のログ抽出部22およびログ蓄積部23が本発明の最小構成である。
At this time, the
また、プロセス起動ログは、プロセス起動イベントに伴う実行ファイルを特定する情報、実行ファイルにより実行されるプロセスのIDであるプロセスID、および、実行ファイルを実行させるプロセスのIDである親プロセスIDのうちいずれか一つまたは複数を含み、ファイル操作ログは、ファイル操作イベントに伴う入力対象ファイルを特定する情報、出力対象ファイルを特定する情報、入力対象ファイルまたは出力対象ファイルに対して行われる操作の種別を示す操作種別を特定する情報、および、操作を行うプロセスのIDを示すプロセスIDのうちいずれか一つまたは複数を含み、ログ抽出部22は、トレースログにおけるファイル操作ログの対象ファイルと、他のファイル操作ログの対象ファイルとが一致するか、トレースログにおけるファイル操作ログの対象ファイルと、他のプロセス起動ログの実行ファイルとが一致するか、トレースログにおけるファイル操作ログのプロセスIDと、他のプロセス起動ログのプロセスIDとが一致するか、または、トレースログにおけるプロセス起動ログのプロセスIDと、他のプロセス起動ログの親プロセスIDが一致する場合に、該トレースログと他のプロセス起動ログまたは他のファイル操作ログが関連すると判定し、該他のファイル操作ログの対象ファイルまたは該他のプロセス起動ログをトレースログとして抽出してもよい。
The process activation log includes information for identifying an execution file associated with a process activation event, a process ID that is an ID of a process executed by the execution file, and a parent process ID that is an ID of a process that executes the execution file. The file operation log includes any one or more, and the file operation log includes information for specifying an input target file associated with a file operation event, information for specifying an output target file, and types of operations performed on the input target file or the output target file Including one or more of the information for identifying the operation type indicating the process ID and the process ID indicating the ID of the process that performs the operation, and the
管理端末30のクエリ送信部31は、ログ管理装置20のログ蓄積部23を検索するためのクエリをログ抽出部22へ送信する。なお、クエリ送信部31は、トレースキー設定部32で設定されたトレースキーをクエリに含めてもよい。また、表示部33は、ログ管理装置20のログ抽出部22から受信したトレースログの集合を画面等に表示する。
The
図2−1および図2−2を用いて、ファイル操作ログについて説明する。図2−1は、第1の実施形態に係るログ抽出システムにおけるファイル操作ログの一例を示す図である。また、図2−2は、第1の実施形態に係るログ抽出システムにおけるファイル操作ログの項目の一例を示す図である。なお、インシデントの発生とは、ファイル操作イベントおよびプロセス起動イベントの発生を表している。 The file operation log will be described with reference to FIGS. FIG. 2A is a diagram illustrating an example of a file operation log in the log extraction system according to the first embodiment. FIG. 2B is a diagram illustrating an example of file operation log items in the log extraction system according to the first embodiment. The occurrence of an incident represents the occurrence of a file operation event and a process activation event.
図2−2に示すように、「発生時刻」はインシデントが発生した時刻、「ドメイン名」はドメイン名またはコンピュータ名、「ユーザ名」はファイル操作を行ったユーザ名、「プロセス名」はファイル操作を行ったプロセスのプロセス名、「プロセスID」はファイル操作を行ったプロセスのプロセスID、「操作種別」は更新内容を表す文字列であり、
”Read”、”Create”、”Modify”、”Rename”、”SaveAs”、”Move”、”Copy”、”Delete”、”ToRecycler”、”FromRecycler”が含まれる。「操作元ファイル名」は操作対象になったファイルの名前、「操作元ファイルパス」は操作対象になったファイルフルパス、「操作元ファイルサイズ」は操作対象になったファイルサイズ、「操作先ファイル名」は新ファイルの名前、「操作先ファイルパス」は新ファイルのフルパス、「操作先ファイルサイズ」は新ファイルのファイルサイズを示している。なお、「操作種別」は、具体的には、入力対象ファイルまたは前記出力対象ファイルに対して行われる操作の種別を示すものである。
As shown in FIG. 2-2, “occurrence time” is the time when the incident occurred, “domain name” is the domain name or computer name, “user name” is the name of the user who performed the file operation, and “process name” is the file The process name of the process that performed the operation, “Process ID” is the process ID of the process that performed the file operation, “Operation Type” is a character string that represents the update content,
“Read”, “Create”, “Modify”, “Rename”, “SaveAs”, “Move”, “Copy”, “Delete”, “ToRecycler”, “FromRecycler” are included. “Operation source file name” is the name of the file to be operated, “Operation source file path” is the file full path to be operated, “Operation source file size” is the file size to be operated, “Operation file “Name” indicates the name of the new file, “Operation destination file path” indicates the full path of the new file, and “Operation destination file size” indicates the file size of the new file. The “operation type” specifically indicates the type of operation performed on the input target file or the output target file.
図2−1に示すファイル操作ログの例においては、発生時刻が「2011/12/12 12:15:23.223」、ドメイン名が「PC_01」、ユーザ名が「User_A」、プロセス名が「notepad.exe」、プロセスIDが「2353」、操作種別が「Create」、操作元ファイル名が「議事録.txt」、操作元ファイルパスが「C:\My Documents\議事録.txt」、操作元ファイルサイズが「11KByte」である。また、操作先ファイル名、操作先ファイルパス、操作先ファイルサイズの情報は含まれない。ファイル操作ログには、元ファイルまたは先ファイルのうちのいずれか一方の情報が含まれていればよい。例えば、ファイルの削除が行われた場合は、操作先のファイルは存在しないことになる。また、ファイルの名称変更が行われた場合は、操作先ファイルとして、操作元ファイルとファイル名の異なるファイルが存在することになる。 In the example of the file operation log illustrated in FIG. 2A, the occurrence time is “2011/12/12 12: 15: 23.223”, the domain name is “PC_01”, the user name is “User_A”, and the process name is “notepad. exe ", process ID is" 2353 ", operation type is" Create ", operation source file name is" minutes.txt ", operation source file path is" C: \ My Documents \ minutes.txt ", operation source file The size is “11KByte”. Also, information on the operation destination file name, operation destination file path, and operation destination file size is not included. The file operation log only needs to include information on one of the original file and the destination file. For example, when a file is deleted, the operation destination file does not exist. When the file name is changed, a file having a different file name from the operation source file exists as the operation destination file.
図3−1および図3−2を用いて、プロセス起動ログについて説明する。図3−1は、第1の実施形態に係るログ抽出システムにおけるプロセス起動ログの一例を示す図である。また、図3−2は、第1の実施形態に係るログ抽出システムにおけるプロセス起動ログの項目の一例を示す図である。 The process activation log will be described with reference to FIGS. 3-1 and 3-2. FIG. 3A is a diagram illustrating an example of a process activation log in the log extraction system according to the first embodiment. FIG. 3B is a diagram illustrating an example of process activation log items in the log extraction system according to the first embodiment.
図3−2に示すように、「発生時刻」はインシデントが発生した時刻、「ドメイン名」はドメイン名またはコンピュータ名、「ユーザ名」はプロセスを実行したユーザ名、「実行プロセス名」は実行されたプロセスのラベル名、「コマンドライン」はプロセス実行のコマンドライン、「実行ファイルパス」は実行されたプロセスのファイルパス、「プロセスID」は実行プロセスのプロセスID、「親プロセスID」は実行プロセスの親プロセスのプロセスIDを示している。また、「プロセスID」は実行ファイルにより実行されるプロセスのID、「親プロセスID」は実行ファイルを実行させるプロセスのIDということもできる。 As shown in FIG. 3-2, “occurrence time” is the time when the incident occurred, “domain name” is the domain name or computer name, “user name” is the name of the user who executed the process, and “execution process name” is the execution "Command line" is the process execution command line, "Execution file path" is the file path of the executed process, "Process ID" is the process ID of the execution process, and "Parent process ID" is the execution The process ID of the parent process of the process is shown. “Process ID” can also be referred to as an ID of a process executed by an execution file, and “parent process ID” can be referred to as an ID of a process for executing an execution file.
図3−1に示すプロセス起動ログの例においては、発生時刻が「2011/12/12 12:15:23.223」、ドメイン名が「PC_01」、ユーザ名が「User_A」、実行プロセス名が「notepad.exe」、実行ファイルパスが「C:\Windows\System32\notepad.exe」プロセスIDが「2353」、親プロセスIDが「260」である。図3−1に示すように、例えば、マウスクリックによってプロセスを起動した場合はコマンドラインが含まれない。これに対して、例えば、コマンドラインからプロセスを起動した場合は、「notepad.exe」のようなコマンドラインが含まれる。 In the example of the process startup log shown in FIG. 3A, the occurrence time is “2011/12/12 12: 15: 23.223”, the domain name is “PC_01”, the user name is “User_A”, and the execution process name is “notepad”. .exe ", the execution file path is" C: \ Windows \ System32 \ notepad.exe ", the process ID is" 2353 ", and the parent process ID is" 260 ". As shown in FIG. 3A, for example, when a process is activated by a mouse click, a command line is not included. On the other hand, for example, when a process is started from the command line, a command line such as “notepad.exe” is included.
図4−1および図4−2を用いて、ファイル操作イベントおよびプロセス起動イベントについて説明する。図4−1は、第1の実施形態に係るログ抽出システムにおけるファイル操作イベントを示す図である。図4−2は、第1の実施形態に係るログ抽出システムにおけるプロセス起動イベントを示す図である。 A file operation event and a process activation event will be described with reference to FIGS. 4A and 4B. FIG. 4A is a diagram illustrating a file operation event in the log extraction system according to the first embodiment. FIG. 4B is a diagram illustrating a process activation event in the log extraction system according to the first embodiment.
図4−1は、ファイル操作イベントを模式的に表したものである。図4−1のSrcファイルおよびDstファイルは、それぞれファイル操作ログの操作元ファイルと操作先ファイルに対応している。また、ファイル操作はファイル操作ログの操作種別に対応し、PIDはプロセスIDに対応している。 FIG. 4A schematically illustrates a file operation event. The Src file and the Dst file in FIG. 4A correspond to the operation source file and the operation destination file of the file operation log, respectively. The file operation corresponds to the operation type of the file operation log, and the PID corresponds to the process ID.
図4−2は、プロセス起動イベントを模式的に表したものである。図4−2の親PIDおよびPIDは、それぞれプロセス起動ログの親プロセスIDおよびプロセスIDに対応している。また、実行ファイルはプロセスを実行する実行ファイルである。 FIG. 4B schematically shows a process activation event. The parent PID and PID in FIG. 4-2 correspond to the parent process ID and process ID of the process activation log, respectively. An executable file is an executable file for executing a process.
ログ抽出部22は、下記の4つの条件のいずれかを満たすログを関連したログとして検索する。
(条件1)ファイル操作ログの対象ファイルと、他のファイル操作ログの対象ファイルとが一致
(条件2)ファイル操作ログの対象ファイルと、他のプロセス起動ログの実行ファイルとが一致
(条件3)ファイル操作ログのプロセスIDと、他のプロセス起動ログのプロセスIDとが一致
(条件4)プロセス起動ログのプロセスIDと、他のプロセス起動ログの親プロセスIDとが一致
The
(Condition 1) The target file of the file operation log matches the target file of the other file operation log. (Condition 2) The target file of the file operation log matches the execution file of the other process startup log (Condition 3) The process ID of the file operation log matches the process ID of the other process startup log. (Condition 4) The process ID of the process startup log matches the parent process ID of the other process startup log.
図5−1〜図5−4を用いて、ログが上記の(1)〜(4)を満たす場合の連結パターンについて説明する。図5−1〜図5−4は、第1の実施形態に係るログ抽出システムにおけるイベントの連結パターンの一例を示す図である。なお、図5−1〜図5−4において、PIDはプロセスIDを示している。 A connection pattern in the case where the log satisfies the above (1) to (4) will be described with reference to FIGS. FIG. 5A to FIG. 5D are diagrams illustrating examples of event connection patterns in the log extraction system according to the first embodiment. In FIGS. 5-1 to 5-4, PID indicates a process ID.
図5−1は、(条件1)、すなわち、ファイル操作ログの対象ファイルと、他のファイル操作ログの対象ファイルとが一致している場合を示している。図5−1に示すように、ファイル操作イベント511のDstファイルとファイル操作イベント512のSrcファイルとが一致している。図5−1に示す連結パターンは、例えば、複製した派生ファイルをさらに複製する操作等により発生する。
FIG. 5A shows (Condition 1), that is, a case where the target file of the file operation log matches the target file of another file operation log. As shown in FIG. 5A, the Dst file of the
図5−2は、(条件2)、すなわち、ファイル操作ログの対象ファイルと、他のプロセス起動ログの実行ファイルとが一致している場合を示している。図5−2の(a)に示すように、ファイル操作イベント512aのDstファイルとプロセス起動イベント522aの実行ファイルとが一致している。また、図5−2の(b)に示すように、ファイル操作イベント521bのSrcファイルとプロセス起動イベント522bの実行ファイルとが一致している。図5−2の(a)に示す連結パターンは、例えば、実行ファイルを複製して起動する操作等により発生する。また、図5−2の(b)に示す連結パターンは、例えば、プロセスを起動後に実行ファイルを削除する操作等により発生する。
FIG. 5B shows (Condition 2), that is, a case where the target file of the file operation log matches the execution file of another process activation log. As shown in FIG. 5A, the Dst file of the
図5−3は、(条件3)、すなわち、ファイル操作ログのプロセスIDと、他のプロセス起動ログのプロセスIDとが一致している場合を示している。図5−3に示すように、ファイル操作イベント531のプロセスIDとプロセス起動イベント532のプロセスIDとが一致している。図5−3に示す連結パターンは、例えば、起動したプロセスがファイルを複製した場合等により発生する。
FIG. 5C illustrates (Condition 3), that is, the case where the process ID of the file operation log matches the process ID of another process activation log. As illustrated in FIG. 5C, the process ID of the file operation event 531 matches the process ID of the
図5−4は、(条件4)、すなわち、プロセス起動ログのプロセスIDと、他のプロセス起動ログの親プロセスIDとが一致している場合を示している。図5−4に示すように、プロセス起動イベント541のプロセスIDとプロセス起動イベント542のプロセスIDとが一致している。図5−4に示す連結パターンは、例えば、親プロセスが子プロセスを起動した場合等に発生する。
FIG. 5-4 shows (Condition 4), that is, the case where the process ID of the process activation log matches the parent process ID of another process activation log. As shown in FIG. 5-4, the process ID of the process activation event 541 matches the process ID of the
[第1の実施形態の処理]
まず、図6を用いて、ログ抽出システム1の処理について説明する。その後、図7〜図9を用いて、ログ抽出システム1が、実際にトレースキーからトレースログが抽出されるまでの流れを具体的な例を挙げて説明する。
[Process of First Embodiment]
First, the process of the
図6は、第1の実施形態に係るログ抽出システムの処理の一例を示す図である。まず、管理端末30は、トレースキー設定部32で設定されたトレースキーを、クエリ送信部31を介してログ管理装置20のログ抽出部22に入力する(ステップS101)。
FIG. 6 is a diagram illustrating an example of processing of the log extraction system according to the first embodiment. First, the
そして、ログ管理装置20のログ抽出部22は、トレースキーを用いてログ蓄積部23のログを検索しトレースログとして抽出する(ステップS102)。この時検索されるログには、ファイル操作ログおよびプロセス起動ログが含まれる。また、具体的な検索処理については後述する。その後、ログ抽出部22は、抽出したトレースログの1つを検索用トレースログとして選択し、また、管理端末30へ出力する(ステップS103)。
Then, the
さらに、ログ管理装置20のログ抽出部22は、検索用トレースログを用いて、ログ蓄積部23から所定の条件を満たすファイル操作ログまたはプロセス起動ログを検索し抽出する(ステップS104)。ここで、所定の条件とは、例えば下記の4つの条件である。
(条件1)ファイル操作ログの対象ファイルと、他のファイル操作ログの対象ファイルとが一致
(条件2)ファイル操作ログの対象ファイルと、他のプロセス起動ログの実行ファイルとが一致
(条件3)ファイル操作ログのプロセスIDと、他のプロセス起動ログのプロセスIDとが一致
(条件4)プロセス起動ログのプロセスIDと、他のプロセス起動ログの親プロセスIDとが一致
Furthermore, the
(Condition 1) The target file of the file operation log matches the target file of the other file operation log. (Condition 2) The target file of the file operation log matches the execution file of the other process startup log (Condition 3) The process ID of the file operation log matches the process ID of the other process startup log. (Condition 4) The process ID of the process startup log matches the parent process ID of the other process startup log.
そして、ログ抽出部22は、抽出したトレースログのうちこれまで未選択の検索用トレースログを選択し、管理端末30へ出力する(ステップS105)。なお、全てのトレースログが選択済の場合は何も選択しない(ステップS105)。ここで、新たな検索用トレースログが選択された場合(ステップS106、Yes)は、ログ抽出部22は、ログ蓄積部23から所定の条件を満たすファイル操作ログまたはプロセス起動ログを検索し抽出する(ステップS104)。また、新たな検索用トレースログが選択されなかった場合(ステップS106、No)は、ログ抽出部22は、処理を終了する。
Then, the
次に、ログ抽出システム1の処理について、具体的な例を挙げて説明する。なお、以下の説明におけるログ抽出システム1およびマルウェアが動作するオペレーティングシステムは、Windows(登録商標)であるものとする。図7は、マルウェアの動作シーケンスの一例を示す図である。図7に示すように、まず、マルウェア導入プログラム(mdload.exe)は、ブラウザ(iexplorer.exe)等により、悪意あるWebサイト等を通じてダウンロードされる。マルウェアは、便利なユーティリティ等に偽装されている場合が多い。ここでは、例として、winword.exeとして偽装されているものとする。
Next, the processing of the
ダウンロード後、マルウェア導入プログラムの保存(11a)が行われ、ユーザによりマルウェア導入プログラムがダブルクリック等で実行される(21b)。次に、マルウェア導入プログラムは、第1のマルウェア(winword.exe)をダウンロード(21b)し、保存(12a)し、実行(22b)する。 After the download, the malware introduction program is saved (11a), and the malware introduction program is executed by the user by double clicking or the like (21b). Next, the malware introduction program downloads (21b), stores (12a), and executes (22b) the first malware (winword.exe).
そして、実行された第1のマルウェアにより、第2のマルウェアであるblacken2.exeを起動時に実行するようスタートアップ登録(13a)が行われる。その後、Windows再起動時にblacken2.exeが起動してWebサイトにアクセスし、端末から不正に読み取った情報を送信する(23b)。最終的にblacken2.exeは、送信情報を読み込み(14a)、自身(blacken2.exe)を削除する(15a)。 Then, startup registration (13a) is performed by the executed first malware so that blacken2.exe, which is the second malware, is executed at startup. Thereafter, when Windows restarts, blacken2.exe is started to access the Web site, and the illegally read information is transmitted from the terminal (23b). Finally, blacken2.exe reads the transmission information (14a) and deletes itself (blacken2.exe) (15a).
図8を用いて、各動作シーケンスのファイル操作ログおよびプロセス起動ログの検索方法について説明する。図8は、第1の実施形態に係るログ抽出システムにおけるログの連なりの一例を示す図である。まず、トレースキーとして実行ファイル「winword.exe」を設定する。なお、ここでは実行ファイル名をトレースキーとしたが、トレースキーはプロセスIDやプロセス名であってもよく、また、ログ自体であってもよい。 A method for searching the file operation log and the process activation log of each operation sequence will be described with reference to FIG. FIG. 8 is a diagram illustrating an example of a series of logs in the log extraction system according to the first embodiment. First, the executable file “winword.exe” is set as a trace key. Although the execution file name is used as a trace key here, the trace key may be a process ID or a process name, or may be a log itself.
図8に示すように、トレースキーを実行ファイルパスに含むプロセス起動ログである22bが検索される。そして、22bの実行ファイルパスとファイル操作ログである12aの元ファイルパスとが一致している(条件2)。また、ファイル操作ログである12aのプロセスIDとプロセス起動ログである21bのプロセスIDとが一致している(条件3)。また、プロセス起動ログである21bの実行ファイルパスとファイル操作ログである11aの元ファイルパスとが一致している(条件3)。また、プロセス起動ログである21bの実行ファイルパスとファイル操作ログである11aの元ファイルパスとが一致している(条件2)。
As shown in FIG. 8, a
また、プロセス起動ログである22bのプロセスIDとファイル操作ログである13aのプロセスIDとが一致している(条件3)。また、ファイル操作ログである13aの元ファイルパスとプロセス起動ログである23bの実行ファイルパスとが一致している(条件2)。また、プロセス起動ログである23bのプロセスIDとファイル操作ログである14aのプロセスIDとが一致している(条件3)。また、プロセス起動ログである23bの実行ファイルパスとファイル操作ログである15aの元ファイルパスとが一致している(条件2)。
Further, the
以上の検索結果を図示すると図9のようになる。図9は、第1の実施形態に係るログ抽出システムにおけるログの検索結果の出力例を示す図である。図9に示すように、11aの対象ファイルと21bの実行ファイル、21bのプロセスIDと12aのプロセスID、12aの対象ファイルと22bの実行ファイル、22bのプロセスIDと13aのプロセスID、13aの対象ファイルと23bの実行ファイル、23bのプロセスIDと14aのプロセスID、23bの実行ファイルと15aの対象ファイルがそれぞれ関連付けられている。 The above search results are shown in FIG. FIG. 9 is a diagram illustrating an output example of a log search result in the log extraction system according to the first embodiment. As shown in FIG. 9, the target file of 11a and the execution file of 21b, the process ID of 21b and the process ID of 12a, the target file of 12a and the execution file of 22b, the process ID of 22b and the process ID of 13a, the target of 13a The file and the execution file of 23b, the process ID of 23b and the process ID of 14a, and the execution file of 23b and the target file of 15a are associated with each other.
また、説明した具体例を、図6のフローチャートに当てはめると、例えば以下のようになる。
(1)実行ファイル「winword.exe」をトレースキーとして入力(ステップS101)
(2)トレースログを用いてログ蓄積部23から検索用トレースログとして22bを抽出(ステップS102)
(3)22bを検索用トレースログとして選択し、管理端末30へ出力(ステップS103)
(4)22bを用いてログ蓄積部23からトレースログとして、12aおよび13aを抽出(ステップS104)
(5)12aを検索用トレースログとして選択し、管理端末30へ出力(ステップS103)
選択済:12a
未選択:13a
(6)12aを用いてログ蓄積部23からトレースログとして、21bを抽出(ステップS104)
(7)21bを検索用トレースログとして選択(ステップS105)
選択済:12a、21b
未選択:13a
(8)検索用トレースログが選択されたので処理を続行(ステップS106、Yes)
(9)21bを用いてログ蓄積部23からトレースログとして、11aを抽出(ステップS104)
(10)11aを検索用トレースログとして選択(ステップS105)
選択済:12a、21b、11a
未選択:13a
(11)検索用トレースログが選択されたので処理を続行(ステップS106、Yes)
(12)11aに関連するログがないので、何も抽出しない(ステップS104)
(13)13aを検索用トレースログとして選択(ステップS105)
選択済:12a、21b、11a、13a
未選択:なし
(14)検索用トレースログが選択されたので処理を続行(ステップS106、Yes)
(15)13aを用いてログ蓄積部23からトレースログとして、23bを抽出(ステップS104)
(16)23bを検索用トレースログとして選択(ステップS105)
選択済:12a、21b、11a、13a、23b
未選択:なし
(17)検索用トレースログが選択されたので処理を続行(ステップS106、Yes)
(18)23bを用いてログ蓄積部23からトレースログとして、14aおよび15aを抽出(ステップS104)
(19)14aを検索用トレースログとして選択(ステップS105)
選択済:12a、21b、11a、13a、23b、14a
未選択:15a
(20)検索用トレースログが選択されたので処理を続行(ステップS106、Yes)
(21)14aに関連するログがないので、何も抽出しない(ステップS104)
(22)15aを検索用トレースログとして選択(ステップS105)
選択済:12a、21b、11a、13a、23b、14a、15a
未選択:なし
(23)検索用トレースログが選択されたので処理を続行(ステップS106、Yes)
(24)15aに関連するログがないので、何も抽出しない(ステップS104)
(25)未選択のログがないためトレースログを選択しない(ステップS105)
選択済:12a、21b、11a、13a、23b、14a、15a
未選択:なし
(26)検索用トレースログが選択されなかったので処理を終了(ステップS106、No)
Moreover, when the specific example demonstrated is applied to the flowchart of FIG. 6, it will become as follows, for example.
(1) Input the execution file “winword.exe” as a trace key (step S101)
(2)
(3) 22b is selected as a search trace log and output to the management terminal 30 (step S103)
(4)
(5) 12a is selected as a search trace log and output to the management terminal 30 (step S103)
Selected: 12a
Unselected: 13a
(6)
(7) 21b is selected as a search trace log (step S105)
Selected: 12a, 21b
Unselected: 13a
(8) Since the search trace log is selected, the processing is continued (Yes in step S106).
(9)
(10) 11a is selected as a search trace log (step S105)
Selected: 12a, 21b, 11a
Unselected: 13a
(11) Since the search trace log is selected, the process is continued (Yes in step S106).
(12) Since there is no log related to 11a, nothing is extracted (step S104).
(13) Select 13a as a search trace log (step S105)
Selected: 12a, 21b, 11a, 13a
Unselected: None (14) Since the search trace log is selected, the processing is continued (Yes in step S106).
(15) 23b is extracted as a trace log from the log storage unit 23 using 13a (step S104)
(16) Select 23b as a search trace log (step S105)
Selected: 12a, 21b, 11a, 13a, 23b
Unselected: None (17) Since the search trace log has been selected, the processing is continued (Yes in step S106).
(18)
(19) 14a is selected as a search trace log (step S105)
Selected: 12a, 21b, 11a, 13a, 23b, 14a
Not selected: 15a
(20) Since the search trace log has been selected, the processing is continued (step S106, Yes).
(21) Since there is no log related to 14a, nothing is extracted (step S104).
(22) 15a is selected as a search trace log (step S105)
Selected: 12a, 21b, 11a, 13a, 23b, 14a, 15a
Unselected: None (23) Since the search trace log is selected, the processing is continued (Yes in step S106).
(24) Since there is no log related to 15a, nothing is extracted (step S104).
(25) Since there is no unselected log, no trace log is selected (step S105).
Selected: 12a, 21b, 11a, 13a, 23b, 14a, 15a
Unselected: None (26) Since the search trace log has not been selected, the process ends (No in step S106).
[第1の実施形態の効果]
端末10のプロセスの起動イベントを示すプロセス起動ログと、ファイルの操作イベントを示すファイル操作ログと、を含むログ情報をログ蓄積部23に蓄積し、ログ抽出部22は、トレースの起点となる検索条件であるトレースキーに関連するプロセス起動ログまたはファイル操作ログを、トレースログとして抽出し、該トレースログに関連するプロセス起動ログまたはファイル操作ログを、トレースログとして抽出する。また、プロセス起動ログは、プロセス起動イベントに伴う実行ファイル、プロセスID、親プロセスIDを特定する情報を含み、ファイル操作ログは、ファイル操作イベントに伴う入力対象ファイル、出力対象ファイル、操作種別、プロセスIDを特定する情報を含む。そして、ログ抽出部22は、
(1)一のファイル操作ログの対象ファイルと、他のファイル操作ログの対象ファイルが一致
(2)一のファイル操作ログの対象ファイルと、他のプロセス起動ログの実行ファイルが一致
(3)一のファイル操作ログのプロセスIDと、他のプロセス起動ログのプロセスIDが一致
(4)一のプロセス起動ログのプロセスIDと、他のプロセス起動ログの親プロセスIDが一致
のいずれかの条件を満たす場合に、一のファイル操作ログの対象ファイルまたは一のプロセス起動ログと、他のファイル操作ログの対象ファイルまたは他のプロセス起動ログとが関連すると判定する。
[Effect of the first embodiment]
Log information including a process activation log indicating a process activation event of the terminal 10 and a file operation log indicating a file operation event is accumulated in the log accumulation unit 23, and the
(1) The target file of one file operation log matches the target file of another file operation log. (2) The target file of one file operation log matches the execution file of another process startup log. (3) One (4) The process ID of one process startup log and the parent process ID of another process startup log match. In this case, it is determined that the target file of one file operation log or one process start log is related to the target file of another file operation log or another process start log.
これにより、プロセス起動ログとファイル操作ログとを関連付けることが可能となり、非定常プログラムが実行されたことを確実に把握することができる。 As a result, the process activation log and the file operation log can be associated with each other, and it is possible to reliably grasp that the unsteady program has been executed.
[第2の実施形態]
蓄積されたログの検索を行う際に、所定の選択条件を追加することで、トレースログの利用目的に合った出力を得ることができる。第2の実施形態として、例えば、インシデントの発生時刻を選択条件として追加することで、マルウェアによるゼロデイ攻撃の痕跡を検知する場合について説明する。
[Second Embodiment]
By adding a predetermined selection condition when searching the accumulated log, an output suitable for the purpose of use of the trace log can be obtained. As a second embodiment, for example, a case where a trace of a zero-day attack by malware is detected by adding an incident occurrence time as a selection condition will be described.
具体的には、ログ抽出部22は、端末10上で動作していたプログラムの脆弱性情報と、脆弱性に対するパッチ適用結果に基づいて脆弱性公開日時、パッチ適用日時およびトレースキーを取得し、発生時刻の範囲が脆弱性公開日時とパッチ適用日時の間であるトレースログを出力する。
Specifically, the
[第2の実施形態の構成]
第2の実施形態のログ抽出システム1においては、ログ抽出部22は関連するログを検索するだけでなく、選択条件として指定された条件によってもログを検索することができる。また、管理端末30のクエリ送信部31は、トレースキーだけでなく、例えば、インシデントの発生時刻の範囲を選択条件として設定したクエリを送信する。その他の構成は第1の実施形態と同様である。
[Configuration of Second Embodiment]
In the
[第2の実施形態の処理]
第2の実施形態においては、トレースログのうち選択条件を満たすものを管理端末30へ出力する。そのため、ログ管理装置20は、検索用トレースログとして選択されたトレースログが、選択条件を満たしているか否かを判定する。図10を用いて、第2の実施形態のログ抽出システム1の処理について説明する。図10は、第2の実施形態に係るログ抽出システムの処理の一例を示す図である。
[Process of Second Embodiment]
In the second embodiment, the trace log that satisfies the selection condition is output to the
まず、管理端末30は、脆弱性情報をログ管理装置20のログ抽出部22に入力する(ステップS201)。そして、脆弱性情報からトレースキー、選択条件1および選択条件2を決定する(ステップS202)。
First, the
そして、ログ管理装置20のログ抽出部22は、トレースキーを用いてログ蓄積部23のログを検索しトレースログとして抽出する(ステップS203)。この時検索されるログには、ファイル操作ログおよびプロセス起動ログが含まれる。また、具体的な検索処理については第1の実施形態の場合と同様である。その後、ログ抽出部22は、抽出したトレースログの1つを検索用トレースログとして選択する(ステップS204)。
Then, the
ここで、ログ抽出部22は、検索用トレースログが選択条件1を満たしているか否かを判定する(ステップS205)。そして、検索用トレースログが選択条件1を満たしている場合(ステップS205、Yes)は、ログ抽出部22は、検索用トレースログが選択条件2を満たしているか否かを判定する(ステップS206)。さらに、検索用トレースログが選択条件2を満たしている場合(ステップS206、Yes)は、ログ抽出部22は、検索用トレースログを管理端末30に出力する(ステップS207)。
Here, the
検索用トレースログが選択条件1を満たしていない場合(ステップS205、No)、または検索用トレースログが選択条件2を満たしていない場合(ステップS206、No)、検索用トレースログを管理端末30へ出力することなく次の処理へ進む。
When the search trace log does not satisfy the selection condition 1 (step S205, No), or when the search trace log does not satisfy the selection condition 2 (step S206, No), the search trace log is sent to the
次に、ログ管理装置20のログ抽出部22は、検索用トレースログを用いて、ログ蓄積部23から所定の条件を満たすファイル操作ログまたはプロセス起動ログを検索し抽出する(ステップS208)。ここで、所定の条件とは、第1の実施形態の場合と同様である。
Next, the
そして、ログ抽出部22は、抽出したトレースログのうちこれまで未選択の検索用トレースログを選択し、管理端末30へ出力する(ステップS209)。なお、全てのトレースログが選択済の場合は何も選択しない(ステップS209)。ここで、新たな検索用トレースログが選択された場合(ステップS210、Yes)は、ログ抽出部22は、検索用トレースログが選択条件1を満たしているか否かを判定する(ステップS205)。また、新たな検索用トレースログが選択されなかった場合(ステップS210、No)は、ログ抽出部22は、処理を終了する。
Then, the
ここで、図11および図12を用いて、具体的な例を挙げて第2の実施形態の処理について説明する。この場合、ゼロデイ攻撃の痕跡を検知するためにトレースログを出力することを目的とするものとする。まず、選択条件1および選択条件2を下記のように設定する。ここで、t1は、パッチ公開のタイミングを、t2はパッチ当て完了のタイミングを示している。また、「Bash.exe」の起動をトレースキーとする。
(選択条件1)
実行ファイル名が「Bash.exe」、かつ操作種別が「Read」、かつ操作ファイル名が「secret.ini」である。
(選択条件2)
インシデントが発生した期間がt1からt2の間である。
Here, with reference to FIG. 11 and FIG. 12, the process of the second embodiment will be described with a specific example. In this case, the purpose is to output a trace log in order to detect a trace of a zero-day attack. First,
(Selection condition 1)
The execution file name is “Bash.exe”, the operation type is “Read”, and the operation file name is “secret.ini”.
(Selection condition 2)
Period incident occurs is between t 1 of t 2.
まず、図11を用いて、ゼロデイ攻撃が陰性の場合の処理について説明する。図11は、第2の実施形態に係るログ抽出システムのログの一例を示す図である。この場合、下記のような処理が行われる。
(1)入力された脆弱性情報より、「Bash.exe」をトレースキーとして選択し、選択条件1および選択条件2を決定する(ステップS201、S202)
(2)トレースログを用いてログ蓄積部23から検索用トレースログとして221bを抽出(ステップS203)
(3)221bを検索用トレースログとして選択(ステップS209)
選択済:221b
未選択:なし
(4)221bは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(5)221bを用いてログ蓄積部23からトレースログとして、216aおよび211aを抽出(ステップS208)
(6)211aを検索用トレースログとして選択(ステップS209)
選択済:221b、211a
未選択:216a
(7)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
(8)211aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(9)211aを用いてログ蓄積部23からトレースログとして、212aおよび215aを抽出(ステップS208)
(10)212aを検索用トレースログとして選択(ステップS209)
(11)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a
未選択:216a、215a
(12)212aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(13)212aを用いてログ蓄積部23からトレースログとして、213aを抽出(ステップS208)
(14)213aを検索用トレースログとして選択(ステップS209)
(15)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a、213a
未選択:216a、215a
(16)213aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(17)213aを用いてログ蓄積部23からトレースログとして、214aを抽出(ステップS208)
(18)214aを検索用トレースログとして選択(ステップS209)
(19)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a、213a、214a
未選択:216a、215a
(20)214aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(21)214aに関連するログがないので、何も抽出しない(ステップS208)
(22)215aを検索用トレースログとして選択(ステップS209)
(23)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a、213a、214a、215a
未選択:216a
(24)215aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(25)214aに関連するログがないので、何も抽出しない(ステップS208)
(26)215aを検索用トレースログとして選択(ステップS209)
(27)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a、213a、214a、215a
未選択:216a
(28)215aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(29)214aに関連するログがないので、何も抽出しない(ステップS208)
(30)216aを検索用トレースログとして選択(ステップS209)
(31)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a、213a、214a、215a、216a
未選択:なし
(32)216aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(33)216aを用いてログ蓄積部23からトレースログとして、217aを抽出(ステップS208)
(34)217aを検索用トレースログとして選択(ステップS209)
(35)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a、213a、214a、215a、216a、217a
未選択:なし
(36)217aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(37)217aを用いてログ蓄積部23からトレースログとして、222bを抽出(ステップS208)
(38)222bを検索用トレースログとして選択(ステップS209)
(39)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:221b、211a、212a、213a、214a、215a、216a、217a、222b
未選択:なし
(40)222bは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(41)222bに関連するログがないので、何も抽出しない(ステップS208)
(42)未選択のログがないためトレースログを選択しない(ステップS209)
(43)検索用トレースログが選択されなかったので処理を終了(ステップS210、No)
この場合、管理端末30に出力されたログ、すなわち選択条件1および選択条件2を満たすログが存在しなかったため、ゼロデイ攻撃は陰性であるといえる。
First, the process when the zero-day attack is negative will be described with reference to FIG. FIG. 11 is a diagram illustrating an example of a log of the log extraction system according to the second embodiment. In this case, the following processing is performed.
(1) From the input vulnerability information, select “Bash.exe” as a trace key and determine
(2) Extracting 221b as a search trace log from the log storage unit 23 using the trace log (step S203)
(3) Select 221b as a search trace log (step S209)
Selected: 221b
Not selected: None (4) Since 221b does not satisfy the
(5)
(6) Select 211a as a search trace log (step S209)
Selected: 221b, 211a
Unselected: 216a
(7) Since the search trace log has been selected, the processing is continued (step S210, Yes).
(8) Since 211a does not satisfy the
(9) 212a and 215a are extracted as trace logs from the log storage unit 23 using 211a (step S208).
(10) Select 212a as the search trace log (step S209)
(11) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 221b, 211a, 212a
Unselected: 216a, 215a
(12) Since 212a does not satisfy the
(13)
(14) Select 213a as the search trace log (step S209)
(15) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 221b, 211a, 212a, 213a
Unselected: 216a, 215a
(16) Since 213a does not satisfy the
(17) 214a is extracted as a trace log from the log storage unit 23 using 213a (step S208).
(18) Select 214a as the search trace log (step S209)
(19) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 221b, 211a, 212a, 213a, 214a
Unselected: 216a, 215a
(20) Since 214a does not satisfy the
(21) Since there is no log related to 214a, nothing is extracted (step S208).
(22) Select 215a as a search trace log (step S209)
(23) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 221b, 211a, 212a, 213a, 214a, 215a
Unselected: 216a
(24) Since 215a does not satisfy the
(25) Since there is no log related to 214a, nothing is extracted (step S208).
(26) Select 215a as a search trace log (step S209)
(27) Since the search trace log has been selected, the processing is continued (step S210, Yes).
Selected: 221b, 211a, 212a, 213a, 214a, 215a
Unselected: 216a
(28) Since 215a does not satisfy the
(29) Since there is no log related to 214a, nothing is extracted (step S208).
(30) Select 216a as the search trace log (step S209)
(31) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 221b, 211a, 212a, 213a, 214a, 215a, 216a
Not selected: None (32) Since 216a does not satisfy the
(33)
(34) Select 217a as the search trace log (step S209).
(35) Since the search trace log has been selected, the processing is continued (Yes in step S210).
Selected: 221b, 211a, 212a, 213a, 214a, 215a, 216a, 217a
Not selected: None (36) Since 217a does not satisfy the
(37) 222b is extracted as a trace log from the log storage unit 23 using 217a (step S208).
(38) 222b is selected as the search trace log (step S209).
(39) Since the search trace log has been selected, the processing is continued (step S210, Yes).
Selected: 221b, 211a, 212a, 213a, 214a, 215a, 216a, 217a, 222b
Not selected: None (40) 222b does not satisfy the
(41) Since there is no log related to 222b, nothing is extracted (step S208).
(42) No trace log is selected because there is no unselected log (step S209).
(43) Since the search trace log has not been selected, the process ends (No in step S210).
In this case, since the log output to the
次に、図12を用いて、ゼロデイ攻撃が陽性の場合の処理について説明する。図12は、第2の実施形態に係るログ抽出システムのログの一例を示す図である。この場合、下記のような処理が行われる。
(1)入力された脆弱性情報より、「Bash.exe」をトレースキーとして選択し、選択条件1および選択条件2を決定する(ステップS201、S202)。
(2)トレースログを用いてログ蓄積部23から検索用トレースログとして321bを抽出(ステップS203)
(3)321bを検索用トレースログとして選択(ステップS209)
選択済:321b
未選択:なし
(4)321bは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(5)321bを用いてログ蓄積部23からトレースログとして、316aおよび311aを抽出(ステップS208)
(6)311aを検索用トレースログとして選択(ステップS209)
選択済:321b、311a
未選択:316a
(7)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
(8)311aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(9)311aを用いてログ蓄積部23からトレースログとして、312aおよび315aを抽出(ステップS208)
(10)312aを検索用トレースログとして選択(ステップS209)
(11)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a
未選択:316a、315a
(12)312aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(13)312aを用いてログ蓄積部23からトレースログとして、313aを抽出(ステップS208)
(14)313aを検索用トレースログとして選択(ステップS209)
(15)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a、313a
未選択:316a、315a
(16)313aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(17)313aを用いてログ蓄積部23からトレースログとして、314aを抽出(ステップS208)
(18)314aを検索用トレースログとして選択(ステップS209)
(19)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a、313a、314a
未選択:316a、315a
(20)314aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(21)314aに関連するログがないので、何も抽出しない(ステップS208)
(22)315aを検索用トレースログとして選択(ステップS209)
(23)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a、313a、314a、315a
未選択:316a
(24)315aは選択条件1および選択条件2を満たしているため、管理端末30に出力する(ステップS205、Yes、S206、Yes、S207)
(25)314aに関連するログがないので、何も抽出しない(ステップS208)
(26)315aを検索用トレースログとして選択(ステップS209)
(27)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a、313a、314a、315a
未選択:316a
(28)315aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(29)314aに関連するログがないので、何も抽出しない(ステップS208)
(30)316aを検索用トレースログとして選択(ステップS209)
(31)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a、313a、314a、315a、316a
未選択:なし
(32)316aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(33)316aを用いてログ蓄積部23からトレースログとして、317aを抽出(ステップS208)
(34)317aを検索用トレースログとして選択(ステップS209)
(35)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a、313a、314a、315a、316a、317a
未選択:なし
(36)317aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(37)317aを用いてログ蓄積部23からトレースログとして、322bを抽出(ステップS208)
(38)322bを検索用トレースログとして選択(ステップS209)
(39)検索用トレースログが選択されたので処理を続行(ステップS210、Yes)
選択済:321b、311a、312a、313a、314a、315a、316a、317a、322b
未選択:なし
(40)322bは選択条件1を満たしていないため、管理端末30に出力しない(ステップS205、No)
(41)322bに関連するログがないので、何も抽出しない(ステップS208)
(42)未選択のログがないためトレースログを選択しない(ステップS209)
(43)検索用トレースログが選択されなかったので処理を終了(ステップS210、No)
この場合、管理端末30に出力されたログ、すなわち選択条件1および選択条件2を満たすログが存在したため、ゼロデイ攻撃は陽性であるといえる。
Next, processing when the zero-day attack is positive will be described with reference to FIG. FIG. 12 is a diagram illustrating an example of a log of the log extraction system according to the second embodiment. In this case, the following processing is performed.
(1) “Bash.exe” is selected from the input vulnerability information as a trace key, and
(2) Extracting 321b as a search trace log from the log storage unit 23 using the trace log (step S203)
(3) Select 321b as a search trace log (step S209)
Selected: 321b
Not selected: None (4) Since 321b does not satisfy the
(5)
(6) Select 311a as a search trace log (step S209)
Selected: 321b, 311a
Unselected: 316a
(7) Since the search trace log has been selected, the processing is continued (step S210, Yes).
(8) Since 311a does not satisfy the
(9) 312a and 315a are extracted as trace logs from the log storage unit 23 using 311a (step S208).
(10) Select 312a as a search trace log (step S209)
(11) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 321b, 311a, 312a
Unselected: 316a, 315a
(12) Since 312a does not satisfy the
(13)
(14) Select 313a as a search trace log (step S209)
(15) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 321b, 311a, 312a, 313a
Unselected: 316a, 315a
(16) Since 313a does not satisfy the
(17)
(18) Select 314a as a search trace log (step S209)
(19) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 321b, 311a, 312a, 313a, 314a
Unselected: 316a, 315a
(20) Since 314a does not satisfy the
(21) Since there is no log related to 314a, nothing is extracted (step S208).
(22) Select 315a as a search trace log (step S209)
(23) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 321b, 311a, 312a, 313a, 314a, 315a
Unselected: 316a
(24) Since 315a satisfies the
(25) Since there is no log related to 314a, nothing is extracted (step S208).
(26) Select 315a as the search trace log (step S209)
(27) Since the search trace log has been selected, the processing is continued (step S210, Yes).
Selected: 321b, 311a, 312a, 313a, 314a, 315a
Unselected: 316a
(28) Since 315a does not satisfy the
(29) Since there is no log related to 314a, nothing is extracted (step S208).
(30) Select 316a as a search trace log (step S209)
(31) Since the search trace log is selected, the process is continued (step S210, Yes).
Selected: 321b, 311a, 312a, 313a, 314a, 315a, 316a
Not selected: None (32) Since 316a does not satisfy the
(33)
(34) Select 317a as a search trace log (step S209)
(35) Since the search trace log has been selected, the processing is continued (Yes in step S210).
Selected: 321b, 311a, 312a, 313a, 314a, 315a, 316a, 317a
Not selected: None (36) Since 317a does not satisfy the
(37) 322b is extracted as a trace log from the log storage unit 23 using 317a (step S208).
(38) Select 322b as a search trace log (step S209)
(39) Since the search trace log has been selected, the processing is continued (step S210, Yes).
Selected: 321b, 311a, 312a, 313a, 314a, 315a, 316a, 317a, 322b
Not selected: None (40) Since 322b does not satisfy the
(41) Since there is no log related to 322b, nothing is extracted (step S208).
(42) No trace log is selected because there is no unselected log (step S209).
(43) Since the search trace log has not been selected, the process ends (No in step S210).
In this case, since the log output to the
[第2の実施形態の効果]
ログ抽出部22は、端末10上で動作していたプログラムの脆弱性情報と、脆弱性に対するパッチ適用結果に基づいて脆弱性公開日時、パッチ適用日時およびトレースキーを取得し、発生時刻の範囲が脆弱性公開日時とパッチ適用日時の間であるトレースログを出力する。これにより、ゼロデイ攻撃の痕跡を検知するという目的を達成するために、無駄な処理を行うことなくトレースログの抽出し出力することができる。
[Effects of Second Embodiment]
The
[第3の実施形態]
第3の実施形態においては、ログ抽出部22は、ファイル操作ログ同士が関連付けられたツリー構造を形成している場合に、トレースログに関連し、ツリー構造を形成しているファイル操作ログをトレースログとして一括で抽出する。具体的には、既存の高速なツリー抽出手段(例えば、特許文献1参照)を適用することで、ファイル操作ログの検索を高速に行うことができる。第3の実施形態のログ抽出システムにおいては、高速なツリー抽出手段が適用されている。
[Third Embodiment]
In the third embodiment, the
[第3の実施形態の構成]
第3の実施形態のログ抽出システム1においては、ログ抽出部22において高速なツリー抽出手段が用いられる。その他の構成は第2の実施形態と同様である。なお、第3の実施形態の説明においては、プロセス起動ログの検索については説明していないが、高速なツリー抽出手段によってファイル操作ログの予備的な検索を行い、第1の実施形態または第2の実施形態による方法でファイル操作ログおよびプロセス起動ログの両方の検索を行うようにしてもよい。
[Configuration of Third Embodiment]
In the
第3の実施形態においては、前提として以下の処理により、ファイル操作ログにファミリIDが付与されているものとする(詳細については、特許文献1の段落0024〜0040を参照)。まず、ツリーのノードとなるファイル操作ログを、派生先のみを有する根、派生元および派生先の両方を有する枝、派生元のみを有する葉に分類する。なお、根には任意のIDが付されているものとする。次に、根から派生する枝および葉を再帰的に検索し、根と同じIDをファミリIDとして付与する。 In the third embodiment, it is assumed that a family ID is assigned to the file operation log by the following process as a premise (for details, see paragraphs 0024 to 0040 of Patent Document 1). First, the file operation log as a node of the tree is classified into a root having only a derivation destination, a branch having both derivation source and derivation destination, and a leaf having only the derivation source. In addition, arbitrary ID shall be attached | subjected to the root. Next, branches and leaves derived from the root are recursively searched, and the same ID as the root is assigned as the family ID.
[第3の実施形態の処理]
まず、図13を用いて、DTS(Distributed Tree Search)、即ち高速なツリー抽出手段を適用しない場合の処理について説明する。図13は、第3の実施形態に係るログ抽出システムの処理の一例を示す図である。図13に示すように、まず、管理端末30は、トレースキーおよび選択条件1を決定し、ログ抽出部22に入力する(ステップS301)。
[Process of Third Embodiment]
First, with reference to FIG. 13, a description will be given of processing in the case where DTS (Distributed Tree Search), that is, high-speed tree extraction means is not applied. FIG. 13 is a diagram illustrating an example of processing of the log extraction system according to the third embodiment. As shown in FIG. 13, first, the
そして、ログ管理装置20のログ抽出部22は、トレースキーを用いてログ蓄積部23のログの木群を検索し抽出する(ステップS302)。この時検索される木には、ファイル操作ログが含まれる。そして、ログ抽出部22は、抽出した木群のうちこれまで未選択の木を選択し、選択した木の1番目のログを検索用ノードとして選択する(ステップS303)。
Then, the
ここで、ログ抽出部22は、検索用ノードが選択条件1を満たしているか否かを判定する(ステップS304)。そして、検索用ノードが選択条件1を満たしている場合(ステップS304、Yes)は、ログ抽出部22は、検索用ノードを管理端末30に出力する(ステップS305)。
Here, the
検索用ノードが選択条件1を満たしていない場合(ステップS304、No)、検索用トレースログを管理端末30へ出力することなく次の処理へ進む。
If the search node does not satisfy the selection condition 1 (No in step S304), the process proceeds to the next process without outputting the search trace log to the
次に、ログ管理装置20のログ抽出部22は、検索用ノードを用いて、ログ蓄積部23から下記の条件を満たすファイル操作ログを検索し抽出する(ステップS306)。
(条件1)ファイル操作ログの対象ファイルと、他のファイル操作ログの対象ファイルとが一致
Next, the
(Condition 1) The target file of the file operation log matches the target file of another file operation log
そして、抽出したファイル操作ログのうちこれまで未選択のものを検索用ノードとして選択する(ステップS307)。なお、選択した木に含まれる全てのファイル操作ログが選択済の場合は何も選択しない(ステップS307)。ここで、新たな検索用ノードが選択された場合(ステップS308、Yes)は、ログ抽出部22は、検索用ノードが選択条件1を満たしているか否かを判定する(ステップS304)。
Then, an unselected file operation log extracted so far is selected as a search node (step S307). If all the file operation logs included in the selected tree have been selected, nothing is selected (step S307). If a new search node is selected (step S308, Yes), the
また、新たな検索用ノードが選択されなかった場合(ステップS308、No)は、ログ抽出部22は、未選択の木が存在しているか否かを確認する(ステップS309)。未選択の木が存在している場合(ステップS309、Yes)は、ログ抽出部22は、抽出したトレースログのうちこれまで未選択の木を選択し、選択した木の1番目のログを検索用ノードとして選択する(ステップS303)。未選択の木が存在しない場合(ステップS309、No)は、ログ抽出部22は、処理を終了する。
If a new search node has not been selected (No at Step S308), the
次に、図14を用いて、高速なツリー抽出手段を適用した場合の処理について説明する。図14は、第3の実施形態に係るログ抽出システムの処理の一例を示す図である。図14に示すように、まず、管理端末30は、トレースキーおよび選択条件1を決定し、ログ抽出部22に入力する(ステップS351)。
Next, processing when a high-speed tree extraction unit is applied will be described with reference to FIG. FIG. 14 is a diagram illustrating an example of processing of the log extraction system according to the third embodiment. As shown in FIG. 14, first, the
そして、ログ管理装置20のログ抽出部22は、トレースキーを用いてログ蓄積部23のログの木群を検索し抽出する(ステップS352)。この時検索される木には、ファイル操作ログが含まれる。そして、ログ抽出部22は、抽出した木群のうちこれまで未選択の木を選択し、選択した木のファミリIDに該当するノードを抽出する(ステップS353)。次に、ログ抽出部22は、抽出したノードのうち、選択条件1を満たすものを管理端末30に出力する(ステップS354)。
Then, the
ログ抽出部22は、未選択の木が存在しているか否かを確認する(ステップS355)。ここで、未選択の木が存在している場合(ステップS355、Yes)は、ログ抽出部22は、抽出した木群のうちこれまで未選択の木を選択し、選択した木のファミリIDに該当するノードを抽出する(ステップS353)。未選択の木が存在しない場合(ステップS355、No)は、ログ抽出部22は、処理を終了する。
The
ここで、図15を用いて、具体的な例を挙げて第3の実施形態の処理について説明する。なお、選択条件1を下記のように設定する。
(選択条件1)
トレースキーと実行ユーザが異なる。
また、実際には、図15に示す木、即ちファイル操作ログの群が1000件存在しているものとする。さらに、前述の通り、同一の木に含まれるファイル操作ログには同一のファミリIDが付されているものとする。まず、図13に示すフローチャートを当てはめた場合は、以下のような処理が行われる。
Here, the processing of the third embodiment will be described using a specific example with reference to FIG.
(Selection condition 1)
The trace key and execution user are different.
In reality, it is assumed that there are 1000 trees shown in FIG. 15, that is, a group of file operation logs. Further, as described above, it is assumed that the same family ID is attached to the file operation logs included in the same tree. First, when the flowchart shown in FIG. 13 is applied, the following processing is performed.
(1)トレースキー(share.exe)および選択条件1を決定し入力(ステップS301)
(2)トレースログを用いてログ蓄積部23からログの木群を検索し抽出(ステップS302)
(3)抽出した木群からこれまで未選択の木を選択し、選択した木の1番目のログを検索用ノードとして選択(ステップS303)
ここでは、トレースキーが121b、選択した木が121b、112a、113a、114a、115a、116a、117a、118a、119aおよび120aとなり、検索用ノードが112aがとなる。
選択済:112a
未選択:なし
(4)112aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(5)112aを用いてログ蓄積部23からファイル操作ログとして、113aを抽出(ステップS306)
(6)113aを検索用ノードとして選択(ステップS307)
選択済:112a、113a
未選択:なし
(7)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(8)113aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(9)113aを用いてログ蓄積部23からファイル操作ログとして、114aを抽出(ステップS306)
(10)114aを検索用ノードとして選択(ステップS307)
選択済:112a、113a、114a
未選択:なし
(11)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(12)114aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(13)114aを用いてログ蓄積部23からファイル操作ログとして、115a、117a、118aを抽出(ステップS306)
(14)115aを検索用ノードとして選択(ステップS307)
選択済:112a、113a、114a、115a
未選択:117a、118a
(15)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(16)115aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(17)115aを用いてログ蓄積部23からファイル操作ログとして、116aを抽出(ステップS306)
(18)116aを検索用ノードとして選択(ステップS307)
選択済:112a、113a、114a、115a、116a
未選択:117a、118a
(19)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(20)116aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(21)116aに関連するログがないので、何も抽出しない(ステップS306)
(22)117aを検索用ノードとして選択(ステップS307)
選択済:112a、113a、114a、115a、116a、117a
未選択:118a
(23)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(24)115aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(25)116aに関連するログがないので、何も抽出しない(ステップS306)
(26)118aを検索用ノードとして選択(ステップS307)
選択済:112a、113a、114a、115a、116a、117a、118a
未選択:なし
(27)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(28)118aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(29)118aを用いてログ蓄積部23からファイル操作ログとして、119aを抽出(ステップS306)
(30)119aを検索用ノードとして選択(ステップS307)
選択済:112a、113a、114a、115a、116a、117a、118a、119a
未選択:なし
(31)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(32)119aは選択条件1を満たしていないため、管理端末30に出力しない(ステップS304、No)
(33)119aを用いてログ蓄積部23からファイル操作ログとして、120aを抽出(ステップS306)
(34)120aを検索用ノードとして選択(ステップS307)
選択済:112a、113a、114a、115a、116a、117a、118a、119a、120a
未選択:なし
(35)検索用ノードが選択されたので処理を続行(ステップS308、Yes)
(36)119aは選択条件1を満たしているため(ステップS304、Yes)、管理端末30に出力(ステップS305)
(37)116aに関連するログがないので、何も抽出しない(ステップS306)
(38)未選択の木群が存在する場合(ステップS309、Yes)は処理を繰り返し行う、存在しない場合(ステップS309、No)は、ログ抽出部22は、処理を終了する。
(1) Determine and input the trace key (share.exe) and selection condition 1 (step S301)
(2) Search and extract log tree group from log storage unit 23 using trace log (step S302)
(3) Select an unselected tree so far from the extracted tree group, and select the first log of the selected tree as a search node (step S303).
Here, the trace key is 121b, the selected trees are 121b, 112a, 113a, 114a, 115a, 116a, 117a, 118a, 119a, and 120a, and the search node is 112a.
Selected: 112a
Not selected: None (4) Since 112a does not satisfy the
(5)
(6) Select 113a as a search node (step S307)
Selected: 112a, 113a
Not selected: None (7) Since the search node has been selected, the processing is continued (Yes in step S308).
(8) Since 113a does not satisfy the
(9) 114a is extracted as a file operation log from the log storage unit 23 using 113a (step S306).
(10) Select 114a as a search node (step S307)
Selected: 112a, 113a, 114a
Unselected: None (11) Since the search node has been selected, the processing is continued (Yes in step S308).
(12) Since 114a does not satisfy the
(13) 115a, 117a, and 118a are extracted as file operation logs from the log storage unit 23 using 114a (step S306).
(14) Select 115a as a search node (step S307)
Selected: 112a, 113a, 114a, 115a
Not selected: 117a, 118a
(15) Since the search node is selected, the process is continued (Yes in step S308).
(16) Since 115a does not satisfy the
(17) 116a is extracted as a file operation log from the log storage unit 23 using 115a (step S306).
(18) Select 116a as a search node (step S307)
Selected: 112a, 113a, 114a, 115a, 116a
Not selected: 117a, 118a
(19) Since the search node has been selected, the processing is continued (Yes in step S308).
(20) Since 116a does not satisfy the
(21) Since there is no log related to 116a, nothing is extracted (step S306).
(22) Select 117a as a search node (step S307)
Selected: 112a, 113a, 114a, 115a, 116a, 117a
Unselected: 118a
(23) Since the search node has been selected, the processing is continued (Yes in step S308).
(24) Since 115a does not satisfy the
(25) Since there is no log related to 116a, nothing is extracted (step S306).
(26) Select 118a as a search node (step S307)
Selected: 112a, 113a, 114a, 115a, 116a, 117a, 118a
Unselected: None
(27) Since the search node is selected, the processing is continued (Yes in step S308).
(28) Since 118a does not satisfy the
(29) Extract 119a as a file operation log from the log storage unit 23 using 118a (step S306)
(30) Select 119a as a search node (step S307)
Selected: 112a, 113a, 114a, 115a, 116a, 117a, 118a, 119a
Unselected: None
(31) Since the search node has been selected, the processing is continued (Yes in step S308).
(32) Since 119a does not satisfy the
(33) 120a is extracted as a file operation log from the log storage unit 23 using 119a (step S306).
(34) Select 120a as a search node (step S307)
Selected: 112a, 113a, 114a, 115a, 116a, 117a, 118a, 119a, 120a
Unselected: None
(35) Since the search node has been selected, the processing is continued (Yes in step S308).
(36) Since 119a satisfies selection condition 1 (step S304, Yes), it is output to the management terminal 30 (step S305).
(37) Since there is no log related to 116a, nothing is extracted (step S306).
(38) If there is an unselected tree group (step S309, Yes), the process is repeated. If not (step S309, No), the
次に、図14に示すフローチャートを当てはめた場合は、以下のような処理が行われる。
(1)トレースキー(share.exe)および選択条件1を決定し入力(ステップS351)
(2)トレースログを用いてログ蓄積部23からログの木群を検索し抽出(ステップS352)
(3)抽出した木群からこれまで未選択の木を選択し、選択した木のファミリIDに該当するノードを抽出(ステップS353)
(4)抽出したノードのうち選択条件1を満たすノードを管理端末30に出力(ステップS354)
(5)未選択の木群が存在する場合(ステップS355、Yes)は処理を繰り返し行う、存在しない場合(ステップS355、No)は、ログ抽出部22は、処理を終了する。
Next, when the flowchart shown in FIG. 14 is applied, the following processing is performed.
(1) Determine and input the trace key (share.exe) and selection condition 1 (step S351)
(2) Search and extract log tree group from log storage unit 23 using trace log (step S352)
(3) Select an unselected tree so far from the extracted tree group, and extract a node corresponding to the family ID of the selected tree (step S353)
(4) A node satisfying the
(5) When there is an unselected tree group (step S355, Yes), the process is repeated. When there is no tree group (step S355, No), the
[第3の実施形態の効果]
ログ抽出部22は、ファイル操作ログ同士が関連付けられたツリー構造を形成している場合に、トレースログに関連し、ツリー構造を形成しているファイル操作ログをトレースログとして一括で抽出する。これにより、トレースログ抽出処理を効率良く行うことができるようになる。
[Effect of the third embodiment]
When a tree structure in which file operation logs are associated with each other is formed, the
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration, etc.]
Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.
[プログラム]
図16は、プログラムが実行されることにより、ログ抽出システムまたはログ管理装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
[program]
FIG. 16 is a diagram illustrating an example of a computer in which a log extraction system or a log management apparatus is realized by executing a program. The
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ログ抽出システム1またはログ管理装置20の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、ログ抽出システム1またはログ管理装置20における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
The hard disk drive 1090 stores, for example, an
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
The setting data used in the processing of the above-described embodiment is stored as
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
1 ログ抽出システム
10 端末
11 エージェントソフトウェア
20 ログ管理装置
21 受信部
22 ログ抽出部
23 ログ蓄積部
231 ファイル操作ログ蓄積部
232 プロセス起動ログ蓄積部
30 管理端末
31 クエリ送信部
32 トレースキー設定部
33 表示部
DESCRIPTION OF
Claims (6)
トレースの起点となる検索条件であるトレースキーに関連する前記プロセス起動ログまたは前記ファイル操作ログを、トレースログとして抽出し、該トレースログに関連する他のプロセス起動ログまたは他のファイル操作ログを、トレースログとして抽出するログ抽出部と、
を有することを特徴とするログ抽出システム。 A log accumulation unit that accumulates log information including a process activation log indicating a process activation event of a terminal and a file operation log indicating a file operation event;
The process start log or the file operation log related to the trace key that is the search condition that is the starting point of the trace is extracted as a trace log, and another process start log or other file operation log related to the trace log is extracted, A log extractor for extracting as a trace log;
A log extraction system comprising:
前記ファイル操作ログは、ファイル操作イベントに伴う入力対象ファイルを特定する情報、出力対象ファイルを特定する情報、前記入力対象ファイルまたは前記出力対象ファイルに対して行われる操作の種別を示す操作種別を特定する情報、および、前記操作を行うプロセスのIDを示すプロセスIDのうちいずれか一つまたは複数を含み、
前記ログ抽出部は、前記トレースログにおけるファイル操作ログの対象ファイルと、他のファイル操作ログの対象ファイルとが一致するか、前記トレースログにおけるファイル操作ログの対象ファイルと、他のプロセス起動ログの実行ファイルとが一致するか、前記トレースログにおけるファイル操作ログのプロセスIDと、他のプロセス起動ログのプロセスIDとが一致するか、または、前記トレースログにおけるプロセス起動ログのプロセスIDと、他のプロセス起動ログの親プロセスIDが一致する場合に、該トレースログと他のプロセス起動ログまたは他のファイル操作ログが関連すると判定し、該他のファイル操作ログの対象ファイルまたは該他のプロセス起動ログをトレースログとして抽出することを特徴とする請求項1に記載のログ抽出システム。 The process activation log includes information specifying an execution file associated with a process activation event, a process ID that is an ID of a process executed by the execution file, and a parent process ID that is an ID of a process that executes the execution file. Including any one or more of them,
The file operation log specifies information specifying an input target file associated with a file operation event, information specifying an output target file, and an operation type indicating a type of operation performed on the input target file or the output target file And any one or more of process information indicating an ID of a process performing the operation,
The log extraction unit determines whether the target file of the file operation log in the trace log matches the target file of the other file operation log, or whether the target file of the file operation log in the trace log and the other process startup log The execution file matches, the process ID of the file operation log in the trace log matches the process ID of the other process startup log, or the process ID of the process startup log in the trace log and other When the parent process ID of the process start log matches, it is determined that the trace log and other process start log or other file operation log are related, and the target file of the other file operation log or the other process start log 2 is extracted as a trace log. Log extraction system.
トレースの起点となる検索条件であるトレースキーに関連する前記プロセス起動ログまたは前記ファイル操作ログを、トレースログとして抽出し、該トレースログに関連する他のプロセス起動ログまたは他のファイル操作ログを、トレースログとして抽出するログ抽出工程と、
を含んだことを特徴とするログ抽出方法。 A log accumulation step for accumulating log information including a process activation log indicating a process activation event of a terminal and a file operation log indicating a file operation event;
The process start log or the file operation log related to the trace key that is the search condition that is the starting point of the trace is extracted as a trace log, and another process start log or other file operation log related to the trace log is extracted, A log extraction process to extract as a trace log;
A log extraction method characterized by including
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015103767A JP6577241B2 (en) | 2015-05-21 | 2015-05-21 | Log extraction system, log extraction method, and log extraction program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015103767A JP6577241B2 (en) | 2015-05-21 | 2015-05-21 | Log extraction system, log extraction method, and log extraction program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016218788A true JP2016218788A (en) | 2016-12-22 |
| JP6577241B2 JP6577241B2 (en) | 2019-09-18 |
Family
ID=57579022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015103767A Active JP6577241B2 (en) | 2015-05-21 | 2015-05-21 | Log extraction system, log extraction method, and log extraction program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6577241B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020075808A1 (en) * | 2018-10-11 | 2020-04-16 | 日本電信電話株式会社 | Information processing device, log analysis method, and program |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012083920A (en) * | 2010-10-08 | 2012-04-26 | Fujitsu Ltd | Operation restriction management program, operation restriction management device, and operation restriction management method |
| JP2013161288A (en) * | 2012-02-06 | 2013-08-19 | Nippon Telegr & Teleph Corp <Ntt> | Tree extraction device, tree extraction system, tree extraction method and tree extraction program |
| JP2013191188A (en) * | 2012-02-14 | 2013-09-26 | Nippon Telegr & Teleph Corp <Ntt> | Log management device, log storage method, log retrieval method, importance determination method and program |
| WO2014087597A1 (en) * | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | Virus intrusion route identification device, virus intrusion route identification method and program |
-
2015
- 2015-05-21 JP JP2015103767A patent/JP6577241B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012083920A (en) * | 2010-10-08 | 2012-04-26 | Fujitsu Ltd | Operation restriction management program, operation restriction management device, and operation restriction management method |
| JP2013161288A (en) * | 2012-02-06 | 2013-08-19 | Nippon Telegr & Teleph Corp <Ntt> | Tree extraction device, tree extraction system, tree extraction method and tree extraction program |
| JP2013191188A (en) * | 2012-02-14 | 2013-09-26 | Nippon Telegr & Teleph Corp <Ntt> | Log management device, log storage method, log retrieval method, importance determination method and program |
| WO2014087597A1 (en) * | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | Virus intrusion route identification device, virus intrusion route identification method and program |
Non-Patent Citations (1)
| Title |
|---|
| 徳丸 浩: "「不正アクセスの最新動向とその対策」", ネットワークセキュリティ EXPERT 7, vol. 初版, JPN6018026772, 10 January 2008 (2008-01-10), JP, pages 第2頁-第9頁 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020075808A1 (en) * | 2018-10-11 | 2020-04-16 | 日本電信電話株式会社 | Information processing device, log analysis method, and program |
| JPWO2020075808A1 (en) * | 2018-10-11 | 2021-09-02 | 日本電信電話株式会社 | Information processing equipment, log analysis method and program |
| JP7176569B2 (en) | 2018-10-11 | 2022-11-22 | 日本電信電話株式会社 | Information processing device, log analysis method and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6577241B2 (en) | 2019-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11741195B2 (en) | Secure deployment of a software package | |
| US10291634B2 (en) | System and method for determining summary events of an attack | |
| CN102254111B (en) | Malicious site detection method and device | |
| US20190075125A1 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
| JP6088714B2 (en) | Specific apparatus, specific method, and specific program | |
| US11455400B2 (en) | Method, system, and storage medium for security of software components | |
| US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
| Ohm et al. | Towards detection of software supply chain attacks by forensic artifacts | |
| US20200084230A1 (en) | Method And System For Modeling All Operations And Executions Of An Attack And Malicious Process Entry | |
| JP2017511923A (en) | Virus processing method, apparatus, system, device, and computer storage medium | |
| US20150089655A1 (en) | System and method for detecting malware based on virtual host | |
| JP6687761B2 (en) | Coupling device, coupling method and coupling program | |
| US20160098390A1 (en) | Command history analysis apparatus and command history analysis method | |
| US20140236895A1 (en) | File link migration for decommisioning a storage server | |
| JP6282217B2 (en) | Anti-malware system and anti-malware method | |
| JP6450022B2 (en) | Analysis device, analysis method, and analysis program | |
| CN114281653B (en) | Application program monitoring method and device and computing equipment | |
| Paro | ElasticSearch cookbook | |
| JP6577241B2 (en) | Log extraction system, log extraction method, and log extraction program | |
| Matos et al. | Rectify: Black-box intrusion recovery in paas clouds | |
| CN106372508B (en) | Malicious document processing method and device | |
| Picazo-Sanchez et al. | DeDup. js: Discovering Malicious and Vulnerable Extensions by Detecting Duplication. | |
| JPWO2018131200A1 (en) | Analysis device, analysis method and analysis program | |
| RU2697951C2 (en) | System and method of terminating functionally restricted application, interconnected with website, launched without installation | |
| JP6404771B2 (en) | Log determination device, log determination method, and log determination program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170828 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180618 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180717 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180823 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190319 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190820 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190822 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6577241 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |